ToddyCat prende di mira MS Exchange

23 Giugno 2022

ToddyCat è stato collegato a una serie di attacchi rivolti a enti governativi e militari in Europa e Asia almeno dal dicembre 2020.

Cos'è ToddyCat

Il collettivo di avversari avrebbe iniziato le sue operazioni prendendo di mira i server Microsoft Exchange di Taiwan e del Vietnam; utilizzando un exploit sconosciuto per distribuire la shell web China Chopper e attivare una catena di infezione a più stadi.

Tra gli altri Paesi di spicco individuati figurano Afghanistan, India, Indonesia, Iran, Kirghizistan, Malesia, Pakistan, Russia, Slovacchia, Tailandia, Regno Unito e Uzbekistan. Con una rapida escalation di attacchi segnata da miglioramenti apportati al set di strumenti nel corso delle campagne successive.

"La prima ondata di attacchi ha preso di mira esclusivamente i server Microsoft Exchange; compromessi con Samurai, una sofisticata backdoor passiva che di solito funziona sulle porte 80 e 443", ha dichiarato la società russa di cybersicurezza Kaspersky in un rapporto pubblicato oggi.

"Il malware consente l'esecuzione di codice C# arbitrario ed è utilizzato con più moduli che consentono all'aggressore di amministrare il sistema remoto e di muoversi lateralmente all'interno della rete bersaglio".

Come ha attaccato MS Exchange

ToddyCat, rintracciato anche sotto il moniker Websiic dalla società di cybersicurezza slovacca ESET, è venuto alla luce per la prima volta nel marzo 2021. Ha sfruttato le falle di ProxyLogon Exchange per colpire server di posta elettronica appartenenti ad aziende private in Asia e a un ente governativo in Europa.

La sequenza di attacco successiva alla distribuzione della shell web China Chopper porta all'esecuzione di un dropper. Questo viene utilizzato per apportare modifiche al registro di Windows per lanciare un loader di secondo livello che è progettato per attivare un loader .NET di terzo livello responsabile dell'esecuzione di Samurai.

La backdoor, oltre a utilizzare tecniche come l'offuscamento e l'appiattimento del flusso di controllo per renderla resistente al reverse engineering, è modulare in quanto i suoi componenti rendono possibile l'esecuzione di comandi arbitrari e l'esfiltrazione di file di interesse dall'host compromesso.

In alcuni casi specifici si osserva anche un sofisticato strumento chiamato Ninja. Generato dall'impianto Samurai e che probabilmente funziona come strumento collaborativo, consentendo a più operatori di lavorare contemporaneamente sulla stessa macchina.

Nonostante le sue caratteristiche simili a quelle di altri toolkit post-exploitation come Cobalt Strike, il malware consente all'aggressore di "controllare sistemi remoti, evitare il rilevamento e penetrare in profondità all'interno di una rete mirata".

Chi c'è dietro a ToddyCat

Nonostante le vittime di ToddyCat siano legate a Paesi e settori tradizionalmente presi di mira da gruppi di lingua cinese, non ci sono prove che colleghino il modus operandi a un attore noto della minaccia.

"ToddyCat è un gruppo APT sofisticato che utilizza diverse tecniche per evitare il rilevamento. Mantiene un basso profilo", ha dichiarato Giampaolo Dedola, ricercatore di sicurezza del Kaspersky Global Research and Analysis Team (GReAT).

"Le organizzazioni colpite dimostrano che questo gruppo si concentra su obiettivi di altissimo profilo. È probabilmente utilizzato per raggiungere obiettivi critici, probabilmente legati a interessi geopolitici."

Gloria Zerilli
Mi piace scoprire nuovi posti, mangiare e leggere romanzi
Scopri tutti gli articoli di Gloria Zerilli

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.