APT ToddyCat Alveja Servidores Microsoft Exchange para Implantar Backdoor Samurai e Trojan Ninja
Índice:
Conheça um novo jogador na arena de ameaças cibernéticas! A partir do final de 2020, especialistas em segurança estão rastreando um novo coletivo APT, chamado ToddyCat, que foi identificado atacando servidores Microsoft Exchange na Europa e Ásia para implantar amostras de malware personalizadas. Entre as cepas maliciosas distribuídas pelo ToddyCat estão a backdoor Samurai, até então desconhecida, e o Ninja Trojan, usados ativamente para tomar controle total sobre instâncias infectadas e se mover lateralmente pela rede.
Detectar APT ToddyCat Atacando Servidores Microsoft Exchange
Dada a crescente sofisticação e escala dos ataques APT, é importante ter conteúdo de detecção prontamente disponível para se defender proativamente contra invasões. Pegue uma regra Sigma abaixo fornecida pelo nosso desenvolvedor perspicaz de Threat Bounty Sittikorn Sangrattanapitak para identificar a atividade maliciosa associada ao APT ToddyCat:
Possível Detecção de Grupo APT ToddyCat Alvo Europa e Ásia por Mudança de Registro (via registro)
Esta regra de detecção é compatível com 16 soluções de SIEM, EDR e XDR líderes de mercado e alinhada com o MITRE ATT&CK® framework v.10, abordando a tática de Evasão de Defesa representada pela técnica de Modificar Registro (T1112).
Entusiasmado para monetizar suas habilidades de caça a ameaças e engenharia de detecção? Junte-se ao nosso Programa de Threat Bounty, desenvolva suas próprias regras Sigma, publique-as na plataforma SOC Prime e receba recompensas recorrentes por sua contribuição.
Obtenha a lista completa de regras Sigma, Snort e Yara para detectar atividades maliciosas associadas a ameaças persistentes avançadas (APTs) clicando no botão Detectar & Caçar. Defensores cibernéticos também podem navegar em nosso Mecanismo de Busca de Ameaças Cibernéticas para obter detecções relevantes aprimoradas com uma ampla gama de informações contextuais, incluindo links CTI, referências MITRE ATT&CK e outros metadados. Basta pressionar o botão Explorar Contexto de Ameaças para mergulhar!
Detectar & Caçar Explorar Contexto de Ameaças
Descrição do Ataque ToddyCat
O APT ToddyCAT ganhou destaque pela primeira vez em dezembro de 2020, quando pesquisadores da Equipe de Pesquisa & Análise Global (GReAT) da Kaspersky identificaram uma campanha maliciosa visando servidores Microsoft Exchange na Ásia e Europa. De acordo com a investigação da Kaspersky, a nova gangue APT utilizou explorações ProxyLogon para tomar controle de servidores sem proteção e implantar malware personalizado, como a backdoor Samurai e o Ninja Trojan. Os especialistas observam que ambas as amostras de malware fornecem ao ToddyCat a capacidade de tomar controle das instâncias afetadas e se mover lateralmente pela rede.
A campanha escalou ao longo do tempo, começando com um número limitado de organizações no Vietnã e Taiwan no final de 2020, até múltiplos ativos na Rússia, Índia, Irã, Reino Unido, Indonésia, Uzbequistão e Quirguistão em 2021-2022. Os hackers do ToddyCat atacaram principalmente organizações de alto perfil, incluindo instituições governamentais e contratantes militares. Além disso, a partir de fevereiro de 2022, afiliados APT expandiram sua lista de alvos com sistemas desktop além dos servidores Microsoft Exchange.
Curiosamente, as vítimas do ToddyCat estão ligadas a indústrias e regiões frequentemente atacadas por coletivos de hackers chineses. Por exemplo, vários alvos do ToddyCat foram simultaneamente violados por hackers associados à China, utilizando a backdoor FunnyDream. No entanto, apesar das sobreposições observadas, os pesquisadores de segurança evitam vincular o APT ToddyCat aos operadores do FunnyDream.
Aproveite a colaboração prolífica com a comunidade global de cibersegurança de mais de 23.000 profissionais de SOC ao se juntar à plataforma SOC Prime. Defenda-se contra ameaças emergentes e aumente a eficiência de suas capacidades de detecção de ameaças!
