ToddyCat APT, Microsoft Exchange 서버를 노려 사무라이 백도어와 닌자 트로이 목마 배포

[post-views]
6월 28, 2022 · 3 분 읽기
ToddyCat APT, Microsoft Exchange 서버를 노려 사무라이 백도어와 닌자 트로이 목마 배포

사이버 위협 분야에서 새로운 참여자를 만나보세요! 2020년 말부터 보안 전문가들은 새로운 APT 집단, ToddyCat이라 불리는 단체를 추적하고 있으며, 이는 유럽 및 아시아의 Microsoft Exchange 서버를 대상으로 맞춤형 악성 코드를 배포하는 것으로 관찰되었습니다. ToddyCat에 의해 배포된 악성 코드 중에는 이전에 알려지지 않은 Samurai 백도어와 Ninja 트로이 목마가 있으며, 이는 감염된 인스턴스를 완전 제어하고 네트워크를 통한 수평 이동에 적극적으로 사용됩니다.

ToddyCat APT의 Microsoft Exchange 서버 공격 탐지

APT 공격의 복잡성과 규모가 증가함에 따라 침입에 대처하기 위해 적시에 탐지 컨텐츠를 준비하는 것이 중요합니다. 이 Sigma 규칙 우리의 민첩한 Threat Bounty 개발자인 Sittikorn Sangrattanapitak 가 제공한 아래의 규칙을 통해 ToddyCat APT와 관련된 악성 활동을 식별하세요.

레지스트리 변경을 통해 유럽 및 아시아를 대상으로 한 ToddyCat APT 그룹 탐지 (via registry)

이 탐지 규칙은 16개의 시장 선도적인 SIEM, EDR & XDR 솔루션과 호환되며, MITRE ATT&CK® 프레임워크 v.10과 일치하여 레지스트리 수정 기술 (T1112)이 대표하는 방어 회피 전술을 다룹니다.

위협 사냥 및 탐지 엔지니어링 기술을 수익화하고 싶으신가요? 우리의 Threat Bounty Program에 참여하고, 자신의 Sigma 규칙을 개발하여 SOC Prime 플랫폼에 발표하고, 기여에 대한 반복적 보상을 받으세요.

고급 지속 위협(APT)와 관련된 악성 활동을 탐지하기 위한 Sigma, Snort, 및 Yara 규칙의 전체 목록을 받으려면 Detect & Hunt 버튼을 누르세요. 사이버 방어자는 또한 우리의 Cyber Threats Search Engine을 통해 CTI 링크, MITRE ATT&CK 참조 및 기타 메타데이터를 포함한 광범위한 맥락 정보와 함께 향상된 관련 탐지를 탐색할 수 있습니다. Threat Context 탐색 버튼을 눌러서 탐색해보세요!

탐지 및 사냥 위협 맥락 탐색

ToddyCat 공격 설명

ToddyCAT APT는 2020년 12월, Kaspersky의 글로벌 연구 및 분석 팀(GReAT)이 아시아 및 유럽의 Microsoft Exchange 서버를 대상으로 한 악성 캠페인을 식별하면서 주목을 받았습니다. Kaspersky 조사 결과에 따르면, 이 새로운 APT 그룹은 ProxyLogon 취약점을 악용하여 패치되지 않은 서버를 제어하고, Samurai 백도어 및 Ninja 트로이 목마 같은 맞춤형 악성 코드를 배포했습니다. 전문가들은 이들 악성 코드 샘플이 ToddyCat에게 영향을 받은 인스턴스를 제어하고 네트워크를 통한 수평 이동을 가능하게 한다고 주목하고 있습니다.

이 캠페인은 시간이 지남에 따라 확대되어, 2020년 말 베트남과 대만의 일부 조직에서 시작하여 2021-2022년에는 러시아, 인도, 이란, 영국, 인도네시아, 우즈베키스탄, 키르기스스탄의 여러 자산에 이르기까지 확산되었습니다. ToddyCat 해커는 주로 정부 기관 및 군사 계약자 등 고위급 조직을 공격했으며, 또한 2022년 2월부터 Microsoft Exchange 서버 외에도 데스크탑 시스템을 공격 대상으로 추가했습니다.

흥미롭게도 ToddyCat의 피해자들은 중국 해킹 집단이 자주 공격하는 산업 및 지역과 연결되어 있습니다. 예를 들어, 여러 ToddyCat 타겟은 China-linked 해커들이 FunnyDream 백도어를 활용하여 동시에 침해되었습니다. 그러나, 관찰된 중복에도 불구하고 보안 연구자들은 ToddyCat APT를 FunnyDream 운영자와 연결하는 것을 피하고 있습니다.

23,000명 이상의 SOC 전문가로 구성된 글로벌 사이버 보안 커뮤니티와의 협력을 통해 SOC Prime 플랫폼에 참여하여 신흥 위협에 대응하고 위협 탐지 능력을 향상시키세요!

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

시크릿 블리자드 공격 탐지: 러시아 지원 APT 그룹, 아폴로섀도우 악성코드로 모스크바 외국 대사관 공격 4 분 읽기 최신 위협 시크릿 블리자드 공격 탐지: 러시아 지원 APT 그룹, 아폴로섀도우 악성코드로 모스크바 외국 대사관 공격 by Daryna Olyniychuk APT41 Attack Detection: Chinese Hackers Exploit Google Calendar and Deliver TOUGHPROGRESS Malware Targeting Government Agencies 4 분 읽기 최신 위협 APT41 Attack Detection: Chinese Hackers Exploit Google Calendar and Deliver TOUGHPROGRESS Malware Targeting Government Agencies by Daryna Olyniychuk APT28 공격 탐지: 러시아 GRU 부대 26156, 우크라이나에 대한 지원을 조정하는 서구 물류 및 기술 기업을 2년간 해킹 캠페인으로 공격 6 분 읽기 최신 위협 APT28 공격 탐지: 러시아 GRU 부대 26156, 우크라이나에 대한 지원을 조정하는 서구 물류 및 기술 기업을 2년간 해킹 캠페인으로 공격 by Veronika Telychko
모든 뉴스