ToddyCat APT prende di mira i server Microsoft Exchange per distribuire il backdoor Samurai e il trojan Ninja
Indice:
Incontra un nuovo giocatore nell’arena delle minacce informatiche! Dalla fine del 2020, gli esperti di sicurezza stanno monitorando un nuovo collettivo APT, denominato ToddyCat, che è stato individuato mentre prendeva di mira i server Microsoft Exchange in Europa e Asia per distribuire campioni di malware personalizzati. Tra i ceppi dannosi distribuiti da ToddyCat ci sono il backdoor Samurai precedentemente sconosciuto e il trojan Ninja, utilizzati attivamente per prendere il controllo completo delle istanze infette e muoversi lateralmente attraverso la rete.
Rileva APT ToddyCat che attacca i server Microsoft Exchange
In vista della crescente sofisticazione e portata degli attacchi APT, è importante avere contenuti di rilevamento tempestivi a portata di mano per difendersi proattivamente dalle intrusioni. Scopri una regola Sigma sotto fornita dal nostro abile sviluppatore Threat Bounty Sittikorn Sangrattanapitak per identificare l’attività dannosa associata all’APT ToddyCat:
Questa regola di rilevamento è compatibile con 16 soluzioni leader di mercato SIEM, EDR & XDR e allineata con il framework MITRE ATT&CK® v.10, affrontando la tattica dell’Evasione della Difesa rappresentata dalla tecnica Modifica Registro (T1112).
Entusiasta di monetizzare le tue abilità di caccia alle minacce e ingegneria del rilevamento? Unisciti al nostro Programma Threat Bounty, sviluppa le tue regole Sigma, pubblicale sulla piattaforma SOC Prime e ricevi ricorrenti ricompense per il tuo contributo.
Ottieni l’elenco completo delle regole Sigma, Snort e Yara per rilevare attività dannose associate a minacce persistenti avanzate (APT) premendo il pulsante Detect & Hunt. I difensori informatici possono anche sfogliare il nostro motore di ricerca delle minacce informatiche per ottenere rilevamenti rilevanti arricchiti con un’ampia gamma di informazioni contestuali, inclusi collegamenti CTI, riferimenti MITRE ATT&CK e altri metadati. Basta premere il pulsante Explore Threat Context per immergersi!
Rileva e Caccia Esplora Contesto della Minaccia
Descrizione dell’Attacco ToddyCat
L’APT ToddyCAT è stata portata alla ribalta nel dicembre 2020 quando i ricercatori del Global Research & Analysis Team (GReAT) di Kaspersky hanno identificato una campagna dannosa che prendeva di mira i server Microsoft Exchange in Asia ed Europa. Secondo indagine di Kaspersky, il nuovo gruppo APT ha sfruttato le vulnerabilità ProxyLogon per prendere il controllo dei server non aggiornati e distribuire malware personalizzati, come il backdoor Samurai e il trojan Ninja. Gli esperti notano che entrambi i campioni di malware forniscono a ToddyCat la capacità di prendere il controllo delle istanze colpite e muoversi lateralmente attraverso la rete.
La campagna è aumentata nel tempo, partendo da un numero limitato di organizzazioni in Vietnam e Taiwan alla fine del 2020, fino a diversi asset in Russia, India, Iran, Regno Unito, Indonesia, Uzbekistan e Kirghizistan nel 2021-2022. Gli hacker ToddyCat hanno principalmente attaccato organizzazioni di alto profilo, tra cui istituzioni governative e appaltatori militari. Inoltre, a partire da febbraio 2022, gli affiliati APT hanno ampliato la loro lista di obiettivi con sistemi desktop oltre ai server Microsoft Exchange.
È interessante notare che le vittime di ToddyCat sono collegate a industrie e regioni frequentemente attaccate da collettivi di hacker cinesi. Ad esempio, diversi bersagli di ToddyCat sono stati simultaneamente violati da hacker legati alla Cina che sfruttavano il backdoor FunnyDream. Tuttavia, nonostante le sovrapposizioni osservate, i ricercatori di sicurezza evitano di collegare l’APT ToddyCat con gli operatori di FunnyDream.
Approfitta della collaborazione prolifica con la comunità globale della cybersicurezza composta da oltre 23.000 professionisti SOC unendoti alla piattaforma di SOC Prime. Difenditi dalle minacce emergenti e aumenta l’efficienza delle tue capacità di rilevazione delle minacce!
