Posté le juin 23, 2022 à 9:48
LES CHERCHEURS EN SÉCURITÉ METTENT EN GARDE CONTRE LE GROUPE APT TODDYCAT RÉCEMMENT DÉCOUVERT
Des experts en cybersécurité ont découvert un acteur APT (Advanced Persistent Threat) dont le nom de code est ToddyCat et qui cible les serveurs MS Exchange. L’acteur de menace a été vu ciblant des entités gouvernementales et militaires en Asie et en Europe depuis décembre 2020.
Le nouveau collectif d’adversaires a commencé ses opérations en lançant des attaques sur des serveurs Microsoft Exchange à Taïwan et au Vietnam. Il utilise un exploit non identifié pour installer le web shell China Chopper et activer une chaîne d’infection en plusieurs étapes.
L’acteur de la menace a lancé des attaques sur d’autres pays
En dehors de ces deux pays, le groupe lance également des attaques sur des serveurs dans d’autres pays. Il s’agit du Royaume-Uni, de la Thaïlande, du Pakistan, de la Russie, de la Malaisie, du Kirghizistan, de l’Indonésie, de l’Iran, de l’Afghanistan et de l’Ouzbékistan. En outre, les chercheurs ont noté que les acteurs de la menace peuvent propager rapidement ce logiciel malveillant en raison des améliorations apportées à leur boîte à outils au fil des campagnes successives.
La société de sécurité Russe Kaspersky a noté que la première vague d’attaques s’est concentrée sur les serveurs Microsoft Exchange, qui ont été infectés par une porte dérobée passive améliorée connue sous le nom de Samouraï. Cette porte dérobée fonctionne généralement sur les ports 443 et 80, selon l’entreprise de sécurité.
Il a également été découvert que le logiciel malveillant permet l’exécution de code C# arbitraire. Il est utilisé avec plusieurs modules qui permettent à l’acteur de la menace de contrôler le système distant et de naviguer facilement dans le réseau ciblé.
Le logiciel malveillant ToddyCat est également identifié par la société de cybersécurité Slovaque ESET sous le nom de Websiic. Il a été vu pour la première fois en mars de l’année dernière lorsqu’il a exploité les vulnérabilités ProxyLogon Exchange pour attaquer les serveurs de messagerie d’organisations gouvernementales en Europe et d’entreprises privées en Asie.
La séquence d’attaque est typique du déploiement du web shell China Chopper. Il peut en résulter l’exécution d’un dropper qui peut être utilisé pour permettre des modifications du registre Windows afin de lancer un chargeur de deuxième phase. Ce dernier peut être utilisé pour lancer un chargeur .NET de troisième niveau qui peut facilement exécuter Samurai.
La porte dérobée utilise des techniques d’évasion avancées
La porte dérobée utilise des techniques telles que le contrôle du glaçage pour la rendre résistante à l’ingénierie inverse. Outre cette fonction, il facilite également l’exécution de commandes arbitraires, qui permettent de voler les fichiers ciblés sur le système ou le serveur infecté. Cela rend la porte dérobée très efficace pour exfiltrer des fichiers de systèmes déjà compromis et les envoyer au serveur de contrôle de l’acteur de menaces.
Les entreprises de sécurité ont également découvert une caractéristique unique dans certains de ces incidents. Dans un exploit typique, un outil sophistiqué connu sous le nom de Ninja, engendré par le Samurai, fonctionne comme un outil collaboratif. Il permet à plusieurs opérateurs de travailler simultanément sur le même système.
Il présente des caractéristiques similaires à celles d’autres boîtes à outils post-exploitation comme Cobalt Strike. Mais il permet également à l’acteur de menaces d’éviter de se faire détecter tout en ayant le contrôle à distance des systèmes. Il peut également donner au hacker la puissance de feu nécessaire pour pénétrer profondément dans un système ciblé.
Les entreprises de sécurité ont également découvert une caractéristique unique dans certains de ces incidents. Dans un exploit typique, un outil sophistiqué connu sous le nom de Ninja, engendré par le Samurai, fonctionne comme un outil collaboratif. Il permet à plusieurs opérateurs de travailler simultanément sur le même système.
Il présente des caractéristiques similaires à celles d’autres boîtes à outils post-exploitation comme Cobalt Strike. Mais il permet également à l’acteur de la menace d’éviter de se faire détecter tout en ayant le contrôle à distance des systèmes. Il peut également donner au hacker la puissance de feu nécessaire pour pénétrer profondément dans un système ciblé.
Il n’y a pas de preuve de l’existence d’un lien entre ToddyCat et un groupe de menace connu
Bien que le logiciel malveillant TodyCat sélectionne ses victimes dans des pays traditionnellement ciblés par des groupes Chinois, il n’a pas encore été associé à un groupe de menaces connu. Les chercheurs affirment qu’il n’y a pas encore de preuve que le logiciel malveillant soit utilisé ou distribué par un groupe connu.
Un chercheur en sécurité de Kaspersky Global Research Analysis Team (GReAT), Giampaolo Dedola, a commenté cette évolution. Il a noté que ToddyCat est un groupe de menaces avancées qui utilise une série de techniques pour éviter la détection tout en exploitant le système ciblé pendant une longue période. Le chercheur a noté que le groupe de menaces existe depuis plus longtemps, mais que ses techniques de contournement l’ont rendu très difficile à détecter.
L’acteur de menaces se concentre sur des cibles très en vue
L’attaque d’organisations, tant militaires que gouvernementales, indique que l’acteur s’intéresse à des cibles très en vue. Cela suggère également que l’objectif de l’acteur malveillant est en rapport avec des questions géopolitiques, compte tenu des objectifs critiques qu’il poursuit. Cela montre également que l’acteur pourrait être parrainé par une entité gouvernementale, mais le logiciel malveillant n’a pas encore été lié à un groupe de menaces connu.
Les dernières découvertes des acteurs de menaces montrent que les attaquants ne cherchent plus des cibles simples ou faciles. Ils développent des outils très sophistiqués qui peuvent les aider à lancer des attaques réussies contre des organisations hautement critiques qui offrent des services très importants à la majorité de la population du pays. En conséquence, les experts ont averti que les organisations et les établissements gouvernementaux devraient améliorer leur sécurité pour se protéger contre de telles attaques sur leurs serveurs.