Acredita-se que um grupo de ameaças persistentes avançado, conhecido como ToddyCat, seja responsável por uma série de ataques que visam servidores Microsoft Exchange em órgãos governamentais e militares de alto escalão na Ásia e na Europa. Estas campanhas, segundo os estudiosos, começaram em dezembro de 2020, e na época, a complexidade de sua natureza foi mal interpretada.
A primeira ofensiva ciberexclusiva atingiu os servidores do Microsoft Exchange, que sofreram o ataque de “Samurai”, um backdoor passivo complexo operando nos portos 80 e 443, segundo Giampaolo Dedola, pesquisador da Kaspersky, descrito em um relatório sobre APT.
Os cientistas afirmaram que o Toddy Cat é uma ameaça de acesso persistente praticamente nova e que existem “poucos dados a respeito deste grupo”.
O APT impulsiona duas entradas ocultas no ambiente do Exchange Server com o vírus denominado Samurai e Ninja, que os investigadores afirmam terem sido usados pelos inimigos para adquirir o controle total do hardware e da rede da vítima.
O Samurai é um componente de uma série de infecções em várias etapas iniciada pelo temível China Chopper e é dependente de acesso remoto ao shell web para lançar exploradores em servidores de Exchange selecionados em Taiwan e Vietnã desde dezembro de 2020, de acordo com Kaspersky.
Os estudiosos declararam que o software malicioso executa instruções C# aleatórias, sendo usado com vários componentes que permitem ao invasor controlar o sistema remoto e se deslocar dentro da rede segmentada. Eles atestaram que, em algumas ocasiões, o backdoor Samurai estabelece o caminho para lançar um outro programa mal intencionado denominado Ninja.
A ESET, a empresa de segurança cibernética, monitorou as ações maliciosas da Cat e as descreveu como um “agrupamento de atividades” que aparece na forma de Websiic. Por outro lado, os pesquisadores da GTSC descobriram outras partes da forma e técnicas de infecção do grupo, explicando a entrega do código dropper do malware em um relatório.
A Kaspersky disse que, até agora, não houve relatos em contas oficiais que descrevam a inteira sequência da infecção ou o malware instalado como parte da ação da operação por essa organização.
O servidor Exchange tem sido alvo de diversos ataques ao longo dos anos.
A partir de dezembro de 2020 até fevereiro de 2021, um grupo restrito de servidores em Taiwan e Vietnã foi alvo de uma série de ataques.
Durante o tempo entre fevereiro e maio de 2021, cientistas notaram um salto inesperado em ações maliciosas. É quando, eles informaram, o ator de ameaça começou a explorar a fraqueza do ProxyLogon para atacar organizações em vários países, como Irã, Índia, Malásia, Eslováquia, Rússia e Reino Unido.
Após maio de 2021, os cientistas investigaram os elementos associados ao mesmo grupo, que visa nações como a Indonésia, Uzbequistão e Quirguistão, bem como as entidades militares e governamentais situadas nesses países. Na terceira onda, a área de ataque foi ampliada para os computadores de desktop, enquanto que antes estava limitada apenas aos servidores Microsoft Exchange.
Série de ações agressivas
Após a colocação do Chopper China, o sequenciador de ataque de shell web se inicia, o que possibilita que o ‘dropper’ se execute, instalando os componentes e criando várias entradas no registro do sistema.
A modificação do registro no passo precedente faz com que “svchost” carregue uma biblioteca maliciosa, “iiswmi.dll”, e realize sua ação para iniciar a terceira etapa, quando um “loader .Net” executa e abre o backdoor Samurai.
De acordo com os investigadores, o Backdoor Samurai é problemático de se identificar durante o procedimento de engenharia reversa, visto que ele “troca de lugar entre as diretrizes, assim reduzindo o fluxo de controle” e emprega técnicas de embaralhamento.
A Samurai desenvolveu a ferramenta Ninja avançada para auxiliar vários usuários a trabalharem juntos em uma máquina. Os estudiosos afirmaram que o Ninja proporciona uma extensa variedade de comandos, dando ao invasor a possibilidade de controlar computadores remotos, escapar de identificação e penetrar profundamente em uma rede dividida.
Ninja possui elementos similares ao conjunto de ferramentas de pós-investigação Cobalt Strike, incluindo recursos e capacidades. Pode-se controlar os sinais HTTP e mascarar o tráfego malicioso em requisições HTTP que parecem autênticas, mudando os caminhos de cabeçalho e URL HTTP”, observou o pesquisador.
Todd se dedica a investigar os APTs (Ataques de Prontidão Avançados) chineses.
De acordo com o relatório, os cibercriminosos de origem chinesa estão visando vítimas da gangue ToddyCat APT durante o mesmo intervalo de tempo. Nestas ocorrências, os pesquisadores notaram que os hackers de língua chinesa usam um backdoor Exchange conhecido como FunnyDream.
Nosso interesse foi despertado pela sobreposição, já que o grupo de malware ToddyCat é raramente visualizado de acordo com nossos dados; e identificamos os mesmos alvos comprometidos por ambos os APTs em três continentes diversos. Acresça-se a isso, em todos os episódios havia uma proximidade nos locais de estadiamento, e em um dos casos usaram o mesmo diretório, de acordo com os relatórios dos pesquisadores.
Os especialistas em segurança suspeitam que, apesar da “atenção aumentada dada aos estacionamentos”, não há provas tangíveis que conectem as duas famílias de vírus.
Embora exista uma superposição, Kaspersky não está convencido de juntar ToddyCat com a aglomeração FunnyDream neste momento. O relatório também destacou que, devido à natureza de alto perfil de todos os envolvidos que foram descobertos, é possível que eles sejam interessados em vários grupos de APT.
As autoridades públicas e militares afetadas sugerem que este coletivo se concentra em objetivos extremamente valiosos, provavelmente usados para alcançar fins consideráveis e possivelmente ligados a interesses globais, de acordo com Kaspersky.
Mande esse artigo para outras pessoas.
- O Governo Federal divulgou novas iniciativas para enfrentar a epidemia da Covid-19. Estas medidas visam ajudar a conter a disseminação do vírus.
- Software malicioso pode ser usado para apropriar-se de dados sigilosos.