Le groupe APT ToddyCat cible les serveurs Microsoft Exchange pour déployer le backdoor Samurai et le cheval de Troie Ninja

[post-views]
juin 28, 2022 · 4 min de lecture
Le groupe APT ToddyCat cible les serveurs Microsoft Exchange pour déployer le backdoor Samurai et le cheval de Troie Ninja

Découvrez un nouveau joueur dans le domaine des cybermenaces ! Depuis la fin de 2020, les experts en sécurité suivent un nouveau groupe APT, surnommé ToddyCat, qui a été repéré en train de cibler les serveurs Microsoft Exchange en Europe et en Asie pour déployer des échantillons de logiciels malveillants personnalisés. Parmi les souches malveillantes distribuées par ToddyCat figurent le backdoor Samurai inconnu jusqu’alors et le Trojan Ninja, utilisés activement pour prendre le contrôle total des instances infectées et se déplacer latéralement dans le réseau.

Détecter l’APT ToddyCat attaquant les serveurs Microsoft Exchange

Compte tenu de la sophistication et de l’ampleur croissantes des attaques APT, il est important d’avoir à disposition du contenu de détection en temps opportun pour se défendre de manière proactive contre les intrusions. Saisissez une règle Sigma ci-dessous fournie par notre développeur Threat Bounty avisé Sittikorn Sangrattanapitak pour identifier l’activité malveillante associée à l’APT ToddyCat :

Possible détection du groupe APT ToddyCat en Europe et en Asie par changement de registre (via le registre)

Cette règle de détection est compatible avec 16 solutions SIEM, EDR & XDR leaders du marché et alignée avec le cadre MITRE ATT&CK® v.10, traitant de la tactique d’évasion de défense représentée par la technique Modifier le registre (T1112).

Enthousiaste à l’idée de monétiser vos compétences en recherche et ingénierie de détection de menaces ? Rejoignez notre Programme Threat Bounty, développez vos propres règles Sigma, faites-les publier sur la plateforme SOC Prime, et recevez des récompenses récurrentes pour votre contribution.

Obtenez la liste complète des règles Sigma, Snort et Yara pour détecter les activités malveillantes associées aux menaces persistantes avancées (APTs) en cliquant sur le bouton Detect & Hunt. Les cyberdéfenseurs peuvent également parcourir notre moteur de recherche de cybermenaces pour obtenir des détections pertinentes enrichies d’un large éventail d’informations contextuelles, y compris des liens CTI, des références MITRE ATT&CK, et d’autres métadonnées. Appuyez simplement sur le bouton Explore Threat Context pour plonger dedans !

Detect & Hunt Explore Threat Context

Description de l’attaque ToddyCat

L’APT ToddyCAT a été mis en lumière pour la première fois en décembre 2020 lorsque les chercheurs de l’équipe de recherche et d’analyse globale (GReAT) de Kaspersky ont identifié une campagne malveillante ciblant les serveurs Microsoft Exchange en Asie et en Europe. Selon l’enquête Kaspersky, le nouveau groupe APT a exploité les vulnérabilités ProxyLogon pour prendre le contrôle des serveurs non corrigés et déployer des logiciels malveillants personnalisés, tels que le backdoor Samurai et le Trojan Ninja. Les experts notent que les deux échantillons de logiciels malveillants permettent à ToddyCat de prendre le contrôle des instances affectées et de se déplacer latéralement dans le réseau.

La campagne s’est intensifiée au fil du temps, passant d’un nombre limité d’organisations au Vietnam et à Taïwan à la fin de 2020, à plusieurs actifs en Russie, Inde, Iran, Royaume-Uni, Indonésie, Ouzbékistan et Kirghizistan en 2021-2022. Les hackers de ToddyCat ont principalement attaqué des organisations de haut niveau, y compris des institutions gouvernementales et des sous-traitants militaires. De plus, dès février 2022, les affiliés de l’APT ont élargi leur liste de cibles avec des systèmes de bureau en plus des serveurs Microsoft Exchange.

Il est intéressant de noter que les victimes de ToddyCat sont liées aux industries et régions fréquemment attaquées par les collectifs de hackers chinois. Par exemple, plusieurs cibles de ToddyCat ont été simultanément infiltrées par des hackers liés à la Chine exploitant le backdoor FunnyDream. Cependant, malgré les chevauchements observés, les chercheurs en sécurité évitent de lier l’APT ToddyCat aux opérateurs de FunnyDream.

Profitez d’une collaboration prolifique avec la communauté mondiale de la cybersécurité composée de plus de 23 000 professionnels SOC en rejoignant la plateforme SOC Prime. Défendez-vous contre les menaces émergentes et augmentez l’efficacité de vos capacités de détection de menaces !

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection de l’attaque Secret Blizzard : un groupe APT soutenu par la russie cible les ambassades étrangères à Moscou avec le malware ApolloShadow 6 min de lecture Dernières Menaces Détection de l’attaque Secret Blizzard : un groupe APT soutenu par la russie cible les ambassades étrangères à Moscou avec le malware ApolloShadow by Daryna Olyniychuk Détection des attaques d’APT41 : Les hackers chinois exploitent Google Calendar et déploient le malware TOUGHPROGRESS ciblant les agences gouvernementales 6 min de lecture Dernières Menaces Détection des attaques d’APT41 : Les hackers chinois exploitent Google Calendar et déploient le malware TOUGHPROGRESS ciblant les agences gouvernementales by Daryna Olyniychuk Détecter les Attaques APT28 : l’unité russe GRU 26156 cible les entreprises occidentales de logistique et de technologie coordonnant l’aide à l’Ukraine dans une campagne de piratage de deux ans 9 min de lecture Dernières Menaces Détecter les Attaques APT28 : l’unité russe GRU 26156 cible les entreprises occidentales de logistique et de technologie coordonnant l’aide à l’Ukraine dans une campagne de piratage de deux ans by Veronika Telychko
Toutes les actualités