Các nhà nghiên cứu của Kaspersky đã phát hiện một hoạt động được thực hiện bởi nhóm mối đe dọa liên tục nâng cao (APT) có tên ToddyCat tấn công các máy chủ Microsoft Exchange bằng hai phần mềm độc hại là Samurai Backdoor và Ninja Trojan. Hoạt động này chủ yếu nhắm vào các tổ chức công cộng và quân sự ở châu Âu và châu Á.
Phần mềm độc hại ToddyCat là gì, cách bảo vệ nó như thế nào?
Trọng tâm của mối đe dọa ToddyCat là một nhóm APT tương đối mới và tiên tiến được các nhà nghiên cứu của Kaspersky phát hiện lần đầu tiên vào tháng 12 năm 2020, khi họ thực hiện một loạt cuộc tấn công vào máy chủ Microsoft Exchange. Hoạt động của nhóm Kaspersky tăng vọt khi ToddyCat bắt đầu khai thác lỗ hổng ProxyLogon trong máy chủ Microsoft Exchange để xâm nhập các tổ chức ở Châu Âu và Châu Á vào tháng 2-tháng 3 năm 2021. Từ tháng 9 năm 2021, tập đoàn chuyển sự chú ý sang máy tính để bàn trong các cơ sở công cộng và ngoại giao ở Châu Á. Nhóm liên tục cập nhật các kỹ thuật tấn công của mình và tiếp tục các cuộc tấn công vào năm 2022.
Mặc dù vectơ lây nhiễm ban đầu bắt đầu các hoạt động vẫn chưa rõ ràng nhưng các nhà nghiên cứu đã tiến hành phân tích toàn diện về phần mềm độc hại được sử dụng trong các chiến dịch. ToddyCat sử dụng Samurai Backdoor và Ninja Trojan, hai công cụ gián điệp mạng tiên tiến được thiết kế để xâm nhập sâu vào các mạng mục tiêu trong khi vẫn duy trì quyền riêng tư của mạng.
Samurai, một cửa hậu mô-đun, là thành phần giai đoạn cuối của cuộc tấn công cho phép kẻ tấn công thao túng hệ thống từ xa và di chuyển sang một bên trong mạng bị xâm nhập. Phần mềm độc hại này đáng chú ý vì sử dụng nhiều luồng điều khiển để chuyển đổi giữa các hướng dẫn, gây khó khăn cho việc tuân theo chuỗi hành động trong mã. Nó cũng được sử dụng để khởi chạy một phần mềm độc hại mới khác có tên Ninja Trojan, một công cụ cộng tác phức tạp cho phép nhiều nhà khai thác chạy trên cùng một máy cùng một lúc.
Ninja Trojan cung cấp một loạt lệnh cho phép kẻ tấn công kiểm soát các hệ thống từ xa mà không bị phát hiện. Công cụ này thường được tải vào bộ nhớ của thiết bị và được khởi chạy bởi nhiều trình cài đặt khác nhau. Ninja Trojan bắt đầu quá trình bằng cách trích xuất các tham số cấu hình từ tải trọng được mã hóa và xâm nhập sâu vào mạng bị xâm nhập. Các khả năng của phần mềm độc hại bao gồm khả năng quản lý hệ thống tệp, khởi chạy shell đảo ngược, chuyển tiếp gói TCP hoặc thậm chí kiểm soát mạng, có thể được cấu hình động tại các khe thời gian cụ thể bằng một lệnh cụ thể.
Phần mềm độc hại này cũng có điểm tương đồng với các phần tử nổi tiếng khác như CobaltStrike ở chỗ nó có thể cho phép Ninja giới hạn số lượng kết nối trực tiếp từ mạng mục tiêu đến các hệ thống chỉ huy và điều khiển từ xa. Ngoài ra, nó có thể kiểm tra các chỉ báo HTTP, thay đổi tiêu đề HTTP và đường dẫn URL, khiến nó trông hợp pháp bằng cách ngụy trang lưu lượng truy cập độc hại trong các yêu cầu HTTP. Những khả năng này làm tăng khả năng tàng hình của Ninja Trojan.
Chuyên gia bảo mật của Kaspersky Giampaolo Dedola cho biết: “ToddyCat là một mối đe dọa tinh vi tập trung với khả năng kỹ thuật cao có thể nằm ngoài tầm radar và xâm nhập vào các tổ chức cấp cao. Bất chấp sự gia tăng số lượng các bộ nạp và các cuộc tấn công được phát hiện trong năm qua, chúng ta vẫn chưa có cái nhìn đầy đủ về hoạt động và chiến thuật của chúng. Một tính năng đáng chú ý khác của ToddyCat là tập trung vào các khả năng phần mềm độc hại nâng cao, do đó có tên Ninja Trojan. Vì vậy việc phát hiện và ngăn chặn là khá khó khăn. Cách tốt nhất để đối đầu với loại mối đe dọa này là sử dụng hệ thống phòng thủ nhiều lớp cung cấp thông tin về tài sản nội bộ và luôn cập nhật thông tin tình báo mới nhất về mối đe dọa.”
Để tìm hiểu thêm về các kỹ thuật và cách bảo vệ của ToddyCat trước các cuộc tấn công mạng Báo cáo danh sách bảo mật có thể đọc được.
Để không trở thành nạn nhân của các cuộc tấn công có chủ đích từ các mối đe dọa đã biết hoặc chưa biết, các nhà nghiên cứu của Kaspersky khuyến nghị các biện pháp sau:
- Nhóm SOC phải có quyền truy cập vào thông tin tình báo về mối đe dọa (TI) cập nhật nhất. Cổng thông tin về mối đe dọa của Kaspersky là điểm nóng dành cho TI của công ty và cung cấp dữ liệu tấn công mạng cũng như thông tin chi tiết được Kaspersky thu thập trong gần 25 năm. Truy cập vào các tính năng được quản lý cho phép người dùng kiểm soát tệp, URL và địa chỉ IP Đây có sẵn miễn phí.
- Kaspersky được phát triển bởi các chuyên gia GReAT với đào tạo trực tuyến Đội ngũ an ninh mạng phải được đào tạo để chuẩn bị giải quyết các mối đe dọa mục tiêu mới nhất.
- Để phát hiện, điều tra và khắc phục sự cố ở cấp điểm cuối Phát hiện và phản hồi điểm cuối của Kaspersky Các giải pháp EDR như
- Bên cạnh việc áp dụng biện pháp bảo vệ điểm cuối cơ bản, Nền tảng chống tấn công nhắm mục tiêu của Kaspersky Nên sử dụng giải pháp bảo mật cấp doanh nghiệp để phát hiện các mối đe dọa cấp mạng nâng cao ở giai đoạn đầu.
- Nhiều cuộc tấn công có chủ đích bắt đầu bằng lừa đảo hoặc các kỹ thuật lừa đảo xã hội khác. Nền tảng nhận thức bảo mật tự động của Kaspersky Đào tạo nâng cao nhận thức về an ninh và kỹ năng thực tế có thể được cung cấp cho các đội.
