Kaspersky alerta para ToddyCat, grupo de cibercrime que visa grandes empresas com novo malware
Investigadores da Kaspersky alertam para campanha em curso levada a cabo por um grupo avançado de ameaça persistente (APT) chamado ToddyCat, cujo objetivo é comprometer múltiplos servidores Microsoft Exchange usando dois programas maliciosos: o backdoor Samurai e o Ninja Trojan. A campanha visava principalmente a administração pública e setor militar na Europa e na Ásia.
ToddyCat é um grupo APT relativamente novo e sofisticado, cuja atividade foi detetada pela primeira vez por investigadores da Kaspersky em Dezembro de 2020, quando levou a cabo uma série de ataques aos servidores-alvo da Microsoft Exchange. Entre fevereiro e março de 2021, a Kaspersky observou uma rápida escalada quando o ToddyCat começou a explorar a vulnerabilidade do ProxyLogon nos servidores Microsoft Exchange para comprometer múltiplas organizações em toda a Europa e Ásia. A partir de Setembro de 2021, o grupo moveu a sua atenção para as máquinas desktop relacionadas com o governo e entidades diplomáticas na Ásia. O grupo atualiza constantemente o seu arsenal e continua a realizar ataques em 2022.
Embora não seja claro qual é o vetor inicial de infeção para as atividades mais recentes, os investigadores realizaram uma análise minuciosa do malware utilizado nas campanhas, concluindo que o ToddyCat utiliza o backdoor Samurai e o Ninja Trojan, duas sofisticadas ferramentas de ciberespionagem concebidas para penetrar profundamente em redes alvo, ao mesmo tempo que mantém persistentemente a sua furtividade.
O Samurai é um backdoor modular, utilizado na fase final do ataque que permite ao atacante administrar o sistema remoto e mover-se lateralmente dentro da rede comprometida. Este malware destaca-se porque utiliza múltiplos fluxos de controlo e declarações de casos para saltar entre instruções, o que torna difícil seguir a ordem das ações no código. Além disso, é utilizado para lançar um novo malware denominado Ninja Trojan, uma ferramenta colaborativa complexa que permite que vários operadores trabalhem na mesma máquina em simultâneo.
O Ninja Trojan também fornece um grande conjunto de comandos, possibilitando aos atacantes controlar sistemas remotos, evitando ao mesmo tempo a deteção. É normalmente carregado na memória de um dispositivo e lançado por vários loaders. O Ninja Trojan inicia a operação recuperando parâmetros de configuração do payload encriptado, e depois infiltra-se profundamente numa rede comprometida. As capacidades do malware incluem a gestão de sistemas de ficheiros, o arranque de shells invertidas, o encaminhamento de pacotes TCP e até a tomada de controlo da rede em períodos de tempo específicos, que podem ser configurados dinamicamente usando um comando específico.
O malware assemelha-se também a outras estruturas pós-exploração bem conhecidas, tais como o CobaltStrike, com as características do Ninja que lhe permitem limitar o número de ligações diretas da rede visada aos sistemas de comando e controlo remoto sem acesso à Internet. Além disso, pode controlar indicadores HTTP e camuflar o tráfego malicioso nos pedidos HTTP, fazendo-os parecer legítimos através da modificação do cabeçalho HTTP e dos caminhos URL. Estas capacidades tornam o Trojan Ninja particularmente furtivo.
"O grupo ToddyCat é um sofisticado agente de ameaças com elevadas capacidades técnicas, capaz de voar sob o radar e de se tornar uma organização de alto nível. Apesar do número de loaders e ataques descobertos durante o último ano, ainda não temos uma visibilidade completa das suas operações e táticas. Outra característica notável do ToddyCat é o seu foco nas capacidades avançadas de malware – o Ninja Trojan recebeu o seu nome por uma razão. É difícil de detetar e, portanto, difícil de parar. A melhor maneira de enfrentar este tipo de ameaça é utilizar defesas multicamadas, que fornecem informações sobre bens internos e se mantêm atualizadas com as últimas informações sobre ameaças", comenta Giampaolo Dedola, perito em segurança da Kaspersky.
Para saber mais sobre o ToddyCat, as suas técnicas e formas de proteger a sua rede de potenciais ataques, consulte o relatório em SecureList.
Para evitar cair vítima de um ataque direcionado por um agente maliciosos conhecido ou desconhecido, os investigadores da Kaspersky recomendam a implementação das seguintes medidas:
• Proporcionar à sua equipa SOC o acesso às últimas informações sobre ameaças (TI). O Portal Kaspersky Threat Intelligence é um ponto de acesso único para a TI da empresa, fornecendo dados de ciberataque e insights recolhidos pela Kaspersky há quase 25 anos. O acesso às suas funcionalidades é gratuito, permitindo aos utilizadores verificar ficheiros, URLs, e endereços IP. Disponível aqui.
• Aumente o nível de segurança cibernética da sua equipa para os preparar para enfrentar as mais recentes ameaças direcionadas com a formação online Kaspersky desenvolvida por peritos do GReAT
• Para a deteção, investigação e reparação atempada de incidentes, implementar soluções EDR como a Detecção e Resposta de Endpoints Kaspersky
• Para além de adotar uma proteção essencial dos endpoints, implementar uma solução de segurança de nível corporativo que detete ameaças avançadas ao nível da rede numa fase inicial, como a Plataforma Kaspersky Anti Targeted Attack
• Muitos ataques direcionados começam com phishing ou outras técnicas de engenharia social, pelo que vale a pena introduzir formação de sensibilização para a segurança e ensinar competências práticas à sua equipa – por exemplo, através da Plataforma de Sensibilização para a Segurança Automatizada Kaspersky.
Post A Comment:
0 comments: