Kaspersky alerta para ToddyCat, grupo de cibercrime que visa grandes empresas com novo malware

 Kaspersky alerta para ToddyCat, grupo de cibercrime que visa grandes empresas com novo malware

Investigadores da Kaspersky alertam para campanha em curso levada a cabo por um grupo avançado de ameaça persistente (APT) chamado ToddyCat, cujo objetivo é comprometer múltiplos servidores Microsoft Exchange usando dois programas maliciosos: o backdoor Samurai e o Ninja Trojan. A campanha visava principalmente a administração pública e setor militar na Europa e na Ásia.  

ToddyCat é um grupo APT relativamente novo e sofisticado, cuja atividade foi detetada pela primeira vez por investigadores da Kaspersky em Dezembro de 2020, quando levou a cabo uma série de ataques aos servidores-alvo da Microsoft Exchange. Entre fevereiro e março de 2021, a Kaspersky observou uma rápida escalada quando o ToddyCat começou a explorar a vulnerabilidade do ProxyLogon nos servidores Microsoft Exchange para comprometer múltiplas organizações em toda a Europa e Ásia. A partir de Setembro de 2021, o grupo moveu a sua atenção para as máquinas desktop relacionadas com o governo e entidades diplomáticas na Ásia. O grupo atualiza constantemente o seu arsenal e continua a realizar ataques em 2022. 

Embora não seja claro qual é o vetor inicial de infeção para as atividades mais recentes, os investigadores realizaram uma análise minuciosa do malware utilizado nas campanhas, concluindo que o ToddyCat utiliza o backdoor Samurai e o Ninja Trojan, duas sofisticadas ferramentas de ciberespionagem concebidas para penetrar profundamente em redes alvo, ao mesmo tempo que mantém persistentemente a sua furtividade. 

O Samurai é um backdoor modular, utilizado na fase final do ataque que permite ao atacante administrar o sistema remoto e mover-se lateralmente dentro da rede comprometida. Este malware destaca-se porque utiliza múltiplos fluxos de controlo e declarações de casos para saltar entre instruções, o que torna difícil seguir a ordem das ações no código. Além disso, é utilizado para lançar um novo malware denominado Ninja Trojan, uma ferramenta colaborativa complexa que permite que vários operadores trabalhem na mesma máquina em simultâneo. 

O Ninja Trojan também fornece um grande conjunto de comandos, possibilitando aos atacantes controlar sistemas remotos, evitando ao mesmo tempo a deteção. É normalmente carregado na memória de um dispositivo e lançado por vários loaders. O Ninja Trojan inicia a operação recuperando parâmetros de configuração do payload encriptado, e depois infiltra-se profundamente numa rede comprometida. As capacidades do malware incluem a gestão de sistemas de ficheiros, o arranque de shells invertidas, o encaminhamento de pacotes TCP e até a tomada de controlo da rede em períodos de tempo específicos, que podem ser configurados dinamicamente usando um comando específico. 

O malware assemelha-se também a outras estruturas pós-exploração bem conhecidas, tais como o CobaltStrike, com as características do Ninja que lhe permitem limitar o número de ligações diretas da rede visada aos sistemas de comando e controlo remoto sem acesso à Internet. Além disso, pode controlar indicadores HTTP e camuflar o tráfego malicioso nos pedidos HTTP, fazendo-os parecer legítimos através da modificação do cabeçalho HTTP e dos caminhos URL. Estas capacidades tornam o Trojan Ninja particularmente furtivo. 

"O grupo ToddyCat é um sofisticado agente de ameaças com elevadas capacidades técnicas, capaz de voar sob o radar e de se tornar uma organização de alto nível. Apesar do número de loaders e ataques descobertos durante o último ano, ainda não temos uma visibilidade completa das suas operações e táticas. Outra característica notável do ToddyCat é o seu foco nas capacidades avançadas de malware – o Ninja Trojan recebeu o seu nome por uma razão. É difícil de detetar e, portanto, difícil de parar. A melhor maneira de enfrentar este tipo de ameaça é utilizar defesas multicamadas, que fornecem informações sobre bens internos e se mantêm atualizadas com as últimas informações sobre ameaças", comenta Giampaolo Dedola, perito em segurança da Kaspersky. 

Para saber mais sobre o ToddyCat, as suas técnicas e formas de proteger a sua rede de potenciais ataques, consulte o relatório em SecureList. 

Para evitar cair vítima de um ataque direcionado por um agente maliciosos conhecido ou desconhecido, os investigadores da Kaspersky recomendam a implementação das seguintes medidas: 

• Proporcionar à sua equipa SOC o acesso às últimas informações sobre ameaças (TI). O Portal Kaspersky Threat Intelligence é um ponto de acesso único para a TI da empresa, fornecendo dados de ciberataque e insights recolhidos pela Kaspersky há quase 25 anos. O acesso às suas funcionalidades é gratuito, permitindo aos utilizadores verificar ficheiros, URLs, e endereços IP. Disponível aqui.

• Aumente o nível de segurança cibernética da sua equipa para os preparar para enfrentar as mais recentes ameaças direcionadas com a formação online Kaspersky desenvolvida por peritos do GReAT

• Para a deteção, investigação e reparação atempada de incidentes, implementar soluções EDR como a Detecção e Resposta de Endpoints Kaspersky 

• Para além de adotar uma proteção essencial dos endpoints, implementar uma solução de segurança de nível corporativo que detete ameaças avançadas ao nível da rede numa fase inicial, como a Plataforma Kaspersky Anti Targeted Attack 

• Muitos ataques direcionados começam com phishing ou outras técnicas de engenharia social, pelo que vale a pena introduzir formação de sensibilização para a segurança e ensinar competências práticas à sua equipa – por exemplo, através da Plataforma de Sensibilização para a Segurança Automatizada Kaspersky.