«Лаборатория Касперского» обнаружила атаки в надежде кибершпионажа на государственные и оборонные предприятия в России.
«Лаборатория Касперского» обнаружила, что с 2021 года кибергруппа ToddyCat проводит трудные целевые атаки на государственные организации и предприятия оборонного сектора Европы и Азии, в том числе России. Атакующие компрометируют серверы Microsoft Exchange за счет незнакомого эксплойта и уязвимости ProxyLogon. При этом используются уникальные бэкдор Samurai и троянец Ninja - два продвинутых прибора для кибершпионажа. Они разработаны таким образом, чтобы после проникновения в целевые сети долго находиться на глубоких уровнях, оставаясь незамеченными.
На сегодняшний день нет более безошибочных данных о том, как происходит первоначальное заражение. Впервые атаки ToddyCat исследователи «Лаборатории Касперского» заметили в начале декабря 2020 года. В феврале-марте 2021 года они зафиксировали резкое усиление активности группы: нападающие начали использовать уязвимость ProxyLogon в серверах Microsoft Exchange для атак на компании в Европе и Азии. С сентября 2021 года группа переключила своё внимание на компьютеры в сетях азиатских государственных органов и дипломатических представительств.
Samurai - это модульный бэкдор, компонент финальной стадии атаки, который позволяет нападающему управлять удалённой системой и перемещаться по скомпрометированной сети. Особенность зловреда в том, что он использует множественный поток команд и операторы выбора, чтобы переключаться с одной инструкции на иную. Это затрудняет отслеживание порядка действий в коде. Также Samurai используется для запуска ещё одной вредоносной программы, троянца Ninja, который позволяет работать единовременно на одном устройстве многим операторам.
Троянец Ninja предоставляет широкий набор команд, которые позволяют нападающим контролировать удалённые системы, минуя детектирования. Обычно команды загружаются в память устройства и запускаются различными загрузчиками. Сначала Ninja возобновляет параметры конфигурации из зашифрованной нагрузки, а затем глубоко проникает в скомпрометированную сеть. Зловред может управлять файловыми системами, запускать обратное подключение (reverse shell), отправлять TCP-пакеты причем даже брать сеть под контроль в определённые периоды времени.
Ninja имеет сходство с знаменитыми фреймворками для постэксплуатации, такого как CobaltStrike, поскольку обладает возможностью без доступа к интернету ограничивать число прямых обращений из целевой сети к удалённым командно-контрольным системам. Вдобавок зловред может контролировать индикаторы HTTP и прятать вредоносный трафик в HTTP-запросах маскируясь под легитимного за счет изменения заголовков HTTP и пути URL-адресов. Эти возможности позволяют троянцу Ninja делать секрет особенно превосходно.
«ToddyCat - это продвинутая кибергруппа с высокими техническими навыками, которая способна оставаться незамеченной и проникать в крупные знаменитые организации. В течение бывшего года мы обнаружили множество загрузчиков и атак, и у нас ещё раз нет полной картины их операций и тактик. ToddyCat использует особенно трудное вредоносное ПО. Наиболее эффективно противостоять ему можно, если использовать многоуровневую защиту - тщательно мониторить внутренние ресурсы и выслеживать аналитические данные о киберугрозах», - объясняет Мария Наместникова, руководитель российского исследовательского центра «Лаборатории Касперского».
Фото: Unsplash.com