Незаметная, словно кошка: APT ToddyCat атакует Exchange-серверы в Европе и Азии

ToddyCat атаковала серверы Microsoft Exchange в Тайване и Вьетнаме с помощью web-оболочки China Chopper , получала удаленный доступ к административным сетям жертв и запускала многоступенчатую цепочку заражения. Таким атакам подверглись и другие страны: Индия, Индонезия, Иран, Малайзия, Пакистан, Россия, Словакия, Узбекистан, Таиланд, Афганистан и Великобритания.

Согласно отчетам компании ESET, в марте 2021 года ToddyCat использовала уязвимость ProxyLogon для атаки на серверы электронной почты правительственных учреждений по всей Азии и Европе. ProxyLogon – уязвимость Microsoft Exchange, использование которой позволяет злоумышленникам получить доступ к серверам электронной почты.

Совсем недавно Лаборатория Касперского опубликовала свой отчет о ToddyCat, в котором говорится, что первая волна атак была направлена исключительно на серверы Microsoft Exchange, которые хакеры взломали с помощью сложного бэкдора Samurai. Вредонос написан на C#, работает на портах 80 и 443 и использует несколько модулей, позволяющих получить удаленный контроль над зараженной системой, а также обеспечивающих боковое перемещение в сети жертвы. Чтобы развернуть бэкдор, злоумышленники использовали web-оболочку China Chopper, с помощью которой модифицировали реестр Windows, а затем запускали второй и третий этапы .NET-дроппера для запуска Samurai.

Джампаоло Дедола, ИБ-специалист Лаборатории Касперского, назвал ToddyCat группой опытных хакеров, использующих множество методов для избежания обнаружения. Исследователи ЛК обеспокоены деятельностью группировки, так как она нацелена на правительственный и военный секторы.