ToddyCat APTがMicrosoft Exchangeサーバーを標的にサムライバックドアとニンジャトロイの木馬を展開

[post-views]
6月 28, 2022 · 6 分で読めます
ToddyCat APTがMicrosoft Exchangeサーバーを標的にサムライバックドアとニンジャトロイの木馬を展開

サイバー脅威の新しいプレイヤーに出会いましょう!2020年後半から、セキュリティ専門家は、新しいAPTコレクティブ、ToddyCatを追跡しており、これはヨーロッパとアジアのMicrosoft Exchangeサーバーをターゲットにしてカスタムマルウェアサンプルを展開していることが確認されています。ToddyCatによって配布される悪意のある脅威の中には、以前は知られていなかったSamuraiバックドアやNinjaトロイの木馬があり、感染したインスタンスを完全に制御し、ネットワークを横断して移動するために積極的に使われています。

ToddyCat APTのMicrosoft Exchangeサーバー攻撃を検知する

APT攻撃の進化と規模の拡大を考慮すると、侵入に先んじて防御するために、タイムリーに検出コンテンツを手元に用意しておくことが重要です。 Sigmaルール 下記の我々の鋭いThreat Bounty開発者 Sittikorn Sangrattanapitak によって提供される、ToddyCat APT関連の悪意のある活動を特定するために:

レジストリ変更(経由:レジストリ)によるヨーロッパおよびアジアの可能性のあるToddyCat APTグループ検出

この検出ルールは、16の市場をリードするSIEM、EDR & XDRソリューションと互換性があり、 MITRE ATT&CK®フレームワーク v.10に対応しており、Modify Registry技術(T1112)で表されるDefense Evasion戦術に取り組んでいます。

脅威ハンティングや検出エンジニアリングスキルのマネタイズに熱心ですか?我々の Threat Bounty Programに参加し、独自のSigmaルールを開発し、それらをSOC Primeプラットフォームで公開し、貢献に対して定期的な報酬を受け取りましょう。

APT(持続的標的型攻撃)に関連する悪意のある活動を検出するためのSigma、Snort、およびYaraルールの完全なリストを取得するには、Detect & Huntボタンを押してください。サイバー防御者はまた、当社のCyber Threats Search Engineを閲覧して、CTIリンク、MITRE ATT&CKリファレンス、その他のメタデータなどを含む広範なコンテキスト情報で強化された関連検出を得ることができます。Explore Threat Contextボタンを押して意図的に確認してください!

Detect & Hunt Explore Threat Context

ToddyCat攻撃の説明

ToddyCAT APTは、2020年12月にKaspersky社のGlobal Research & Analysis Team(GReAT)の研究者によって、アジアとヨーロッパのMicrosoft Exchangeサーバーを標的にした悪意のあるキャンペーンとして初めて注目されました。 Kasperskyの調査によると、新しいAPT集団は未パッチのサーバーを制御してカスタムマルウェア(SamuraiバックドアやNinjaトロイの木馬)を展開するためにProxyLogonエクスプロイトを利用しました。専門家は、両方のマルウェアサンプルが、その影響を受けたインスタンスを制御し、ネットワークを横断して移動する能力をToddyCatに提供していると指摘しています。

キャンペーンは時間の経過とともに拡大し、2020年の終わりにはベトナムと台湾の限られた数の組織から始まり、2021年から2022年にかけてはロシア、インド、イラン、イギリス、インドネシア、ウズベキスタン、キルギスの複数の資産に至りました。ToddyCatのハッカーは主に政府機関や軍事契約業者を含むハイプロファイルな組織を攻撃しました。さらに、APT加盟国は2022年2月から、Microsoft Exchangeサーバーに加えてデスクトップシステムを標的にしたターゲットのリストを拡大しました。

興味深いことに、ToddyCatの被害者は中国のハッキング集団によって頻繁に攻撃される業界および地域に関連しています。例えば、いくつかのToddyCatのターゲットは、FunnyDreamバックドアを活用する中国関連のハッカーによって同時に侵害されました。しかし、観察された重複にもかかわらず、セキュリティ研究者はToddyCat APTをFunnyDreamのオペレーターにリンク付けることを避けています。

23,000人以上のSOC専門家からなるグローバルなサイバーセキュリティコミュニティと多産なコラボレーションを活用するには SOC Primeのプラットフォームに参加しましょう。新たな脅威に対抗し、脅威検出能力の効率を向上させましょう!

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Secret Blizzard攻撃検知:ロシア支援APTがApolloShadowマルウェアでモスクワの外国大使館を標的に 8 分で読めます 最新の脅威 Secret Blizzard攻撃検知:ロシア支援APTがApolloShadowマルウェアでモスクワの外国大使館を標的に by Daryna Olyniychuk APT41攻撃の検知:中国ハッカーがGoogleカレンダーを悪用し、政府機関を標的にしたTOUGHPROGRESSマルウェアを配信 9 分で読めます 最新の脅威 APT41攻撃の検知:中国ハッカーがGoogleカレンダーを悪用し、政府機関を標的にしたTOUGHPROGRESSマルウェアを配信 by Daryna Olyniychuk APT28攻撃を検出:ロシアGRU 26156部隊、西側の物流と技術企業を狙いウクライナへの支援を協調する2年間のハッキングキャンペーン 13 分で読めます 最新の脅威 APT28攻撃を検出:ロシアGRU 26156部隊、西側の物流と技術企業を狙いウクライナへの支援を協調する2年間のハッキングキャンペーン by Veronika Telychko
すべてのニュース