«Лаборатория Касперского» обнаружила, что с 2021 года кибергруппа ToddyCat проводит сложные целевые атаки на государственные организации и предприятия оборонного сектора Европы и Азии, в том числе России

Атакующие компрометируют серверы Microsoft Exchange с помощью неизвестного эксплойта и уязвимости ProxyLogon. При этом используются уникальные бэкдор Samurai и троянец Ninja — два продвинутых инструмента для кибершпионажа. Они разработаны таким образом, чтобы после проникновения в целевые сети долго находиться на глубоких уровнях, оставаясь незамеченными.

На сегодняшний день нет более точных данных о том, как происходит первоначальное заражение. Впервые атаки ToddyCat исследователи «Лаборатории Касперского» заметили в декабре 2020 года. В феврале-марте 2021 года они зафиксировали резкое усиление активности группы: атакующие начали использовать уязвимость ProxyLogon в серверах Microsoft Exchange для атак на компании в Европе и Азии. С сентября 2021 года группа переключила своё внимание на компьютеры в сетях азиатских государственных органов и дипломатических представительств.

Samurai — это модульный бэкдор, компонент финальной стадии атаки, который позволяет атакующему управлять удалённой системой и перемещаться по скомпрометированной сети. Особенность зловреда в том, что он использует множественный поток команд и операторы выбора, чтобы переключаться с одной инструкции на другую. Это затрудняет отслеживание порядка действий в коде. Также Samurai используется для запуска ещё одной вредоносной программы, троянца Ninja , который позволяет работать одновременно на одном устройстве многим операторам.

Троянец Ninja предоставляет широкий набор команд, которые позволяют атакующим контролировать удалённые системы, избегая детектирования. Обычно команды загружаются в память устройства и запускаются разными загрузчиками. Сначала Ninja восстанавливает параметры конфигурации из зашифрованной нагрузки, а затем глубоко проникает в скомпрометированную сеть. Зловред может управлять файловыми системами, запускать обратное подключение (reverse shell), отправлять TCP-пакеты и даже брать сеть под контроль в определённые периоды времени.

Ninja имеет сходство с известными фреймворками для постэксплуатации, такими как CobaltStrike, поскольку обладает возможностью без доступа к интернету ограничивать число прямых обращений из целевой сети к удалённым командно-контрольным системам. Вдобавок зловред может контролировать индикаторы HTTP и прятать вредоносный трафик в  HTTP-запросах под видом легитимного с помощью изменения заголовков HTTP и пути URL-адресов. Эти возможности позволяют троянцу Ninja скрываться особенно хорошо.

«ToddyCat — это продвинутая кибергруппа с высокими техническими навыками, которая способна оставаться незамеченной и проникать в крупные известные организации. В течение прошлого года мы обнаружили множество загрузчиков и атак, но у нас всё ещё нет полной картины их операций и тактик. ToddyCat использует особенно сложное вредоносное ПО. Наиболее эффективно противостоять ему можно, если использовать многоуровневую защиту — тщательно мониторить внутренние ресурсы и отслеживать аналитические данные о киберугрозах», — комментирует Мария Наместникова, руководитель российского исследовательского центра «Лаборатории Касперского».

Чтобы защититься от сложных кибератак, «Лаборатория Касперского» рекомендует компаниям:

  • предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах, например к порталу  Kaspersky Threat Intelligence Portal , на котором собраны данные о кибератаках, накопленные за более 20 лет работы «Лаборатории Касперского». Свободный доступ к базовым функциям открыт по с c ылке  https://opentip.kaspersky.com/;
  • внедрять EDR -решения, например Kaspersky Endpoint Detection and Response , для обнаружения угроз на конечных устройствах, расследования и своевременного восстановления после инцидентов;
  • в дополнение к основным защитным продуктам использовать решение корпоративного уровня, способное детектировать продвинутые угрозы на сетевом уровне на ранней стадии, такое как  Kaspersky Anti Targeted Attack Platform;
  • обучать сотрудников базовым правилам кибергигиены, поскольку атаки часто начинаются с фишинга или других техник социальной инженерии.

Новости «Лаборатория Касперского»