Se cree que un grupo de amenazas persistentes avanzadas (APT), denominado ToddyCat, está detrás de una serie de ataques dirigidos a servidores Microsoft Exchange de instalaciones gubernamentales y militares de alto perfil en Asia y Europa. Las campañas, según los investigadores, comenzaron en diciembre de 2020 y hasta ahora han sido poco conocidas en su complejidad.
"La primera ola de ataques se dirigió exclusivamente a los servidores de Microsoft Exchange, que se vieron comprometidos con Samurai, una sofisticada puerta trasera pasiva que generalmente funciona en los puertos 80 y 443", escribió Giampaolo Dédola, investigador de seguridad de Kaspersky, en un informe que describe la APT.
Los investigadores dijeron que ToddyCat a es relativamente nuevo APT y que hay "poca información sobre este actor".
La APT aprovecha dos puertas traseras pasivas dentro del entorno de Exchange Server con malware llamado Samurai y Ninja, que los investigadores dicen que son utilizados por los adversarios para tomar el control completo del hardware y la red de la víctima.
El malware Samurai fue parte de una cadena de infección de múltiples etapas iniciada por el infame China Chopper y se basa en shells web para lanzar exploits en el servidor de intercambio seleccionado en Taiwán y Vietnam a partir de diciembre de 2020, informa Kaspersky.
Los investigadores declararon que el malware "se ejecuta código C # arbitrario y se utiliza con múltiples módulos que permiten al atacante administrar el sistema remoto y moverse lateralmente dentro de la red objetivo". En algunos casos, dijeron, la puerta trasera Samurai establece el camino para lanzar otro programa malicioso llamado Ninja.
Los aspectos de las actividades de amenaza de ToddyCat también fueron rastreados por la firma de ciberseguridad ESET, que denominó al "grupo de actividades" visto en la naturaleza como Websiic. Mientras tanto, los investigadores de GTSC identificaron otra parte de los vectores y técnicas de infección del grupo en un informe que describe la entrega del código cuentagotas del malware.
"Dicho esto, hasta donde sabemos, ninguna de las cuentas públicas describió avistamientos de la cadena de infección completa o etapas posteriores del malware desplegado como parte de la operación de este grupo", escribió Kaspersky.
Múltiples cadenas de ataques a Exchange Server a lo largo de los años
Durante el período comprendido entre diciembre de 2020 y febrero de 2021, se llevó a cabo la primera ola de ataques contra el número limitado de servidores en Taiwán y Vietnam.
En el siguiente período, entre febrero de 2021 y mayo de 2021, los investigadores observaron un aumento repentino de los ataques. Fue entonces cuando, dijeron, el actor de amenazas comenzó a abusar de la vulnerabilidad ProxyLogon para atacar organizaciones en varios países, incluidos Irán, India, Malasia, Eslovaquia, Rusia y el Reino Unido.
Después de mayo de 2021, los investigadores observaron los atributos vinculados al mismo grupo que se dirige a los países mencionados anteriormente, así como a las organizaciones militares y gubernamentales con sede en Indonesia, Uzbekistán y Kirguistán. La superficie de ataque en la tercera ola se expande a los sistemas de escritorio, mientras que anteriormente el alcance se limitaba solo a los servidores de Microsoft Exchange.
Secuencia de ataque
La secuencia de ataque se inicia después de la implementación de la secuencia de ataque de shell web China Chopper, que permite al dropper ejecutar e instalar los componentes y crear múltiples claves de registro.
La modificación del registro en el paso anterior obliga a "svchost" a cargar una biblioteca maliciosa "iiswmi.dll" y realiza su acción para invocar la tercera etapa donde un "cargador .Net" ejecuta y abre la puerta trasera Samurai.
Según los investigadores, la puerta trasera Samurai es difícil de detectar durante el proceso de ingeniería inversa, ya que "cambia de caso para saltar entre instrucciones, aplanando así el flujo de control" y utiliza técnicas de ofuscación.
En los incidentes específicos, la herramienta avanzada Ninja fue implementada por Samurai para coordinar y colaborar con múltiples operadores para trabajar simultáneamente en la misma máquina. Los investigadores explicaron que el Ninja proporciona un gran conjunto de comandos que permiten a un atacante "controlar sistemas remotos, evitar la detección y penetrar profundamente dentro de una red objetivo".
Ninja comparte similitudes con el otro kit de herramientas posterior a la explotación como Cobalt strike en términos de capacidades y características. Puede "controlar los indicadores HTTP y camuflar el tráfico malicioso en las solicitudes HTTP que parecen legítimas modificando el encabezado HTTP y las rutas de URL", señaló el investigador.
La actividad de ToddyCat se extiende a las APT chinas
Según el informe, los hackers con sede en China están apuntando a las víctimas de la pandilla ToddyCat APT dentro del mismo marco de tiempo. En esos casos, los investigadores observaron que los hackers de idioma chino usan una puerta trasera de Exchange llamada FunnyDream.
"Esta superposición nos llamó la atención, ya que el clúster de malware ToddyCat rara vez se ve según nuestra telemetría; y observamos los mismos objetivos comprometidos por ambas APT en tres países diferentes. Además, en todos los casos hubo una proximidad en los lugares de preparación y en un caso usaron el mismo directorio", escribieron los investigadores.
Los investigadores de seguridad creen que a pesar de la "proximidad ocasional en los lugares de preparación", no tienen ninguna prueba concreta que muestre el vínculo entre las dos familias de malware.
"A pesar de la superposición, no nos sentimos seguros de fusionar ToddyCat con el clúster FunnyDream en este momento", escribió Kaspersky. "Teniendo en cuenta la naturaleza de alto perfil de todas las víctimas que descubrimos, es probable que fueran de interés para varios grupos de APT", agregó el informe.
"Las organizaciones afectadas, tanto gubernamentales como militares, muestran que este grupo se centra en objetivos de muy alto perfil y probablemente se utiliza para lograr objetivos críticos, probablemente relacionados con intereses geopolíticos", escribió Kaspersky.