Kod adlı gelişmiş bir kalıcı tehdit (APT) aktörü ToddyKedi En az Aralık 2020’den bu yana Avrupa ve Asya’daki yüksek profilli kuruluşlara yönelik bir dizi saldırıyla bağlantılı.
Nispeten yeni muhalif kolektifin, China Chopper web kabuğunu dağıtmak ve çok aşamalı bir enfeksiyon zincirini etkinleştirmek için bilinmeyen bir istismar kullanarak Tayvan ve Vietnam’daki Microsoft Exchange sunucularını hedefleyerek faaliyetlerine başladığı söyleniyor.
Hedeflenen diğer önde gelen ülkeler arasında Afganistan, Hindistan, Endonezya, İran, Kırgızistan, Malezya, Pakistan, Rusya, Slovakya, Tayland, Birleşik Krallık ve Özbekistan yer alıyor.
Rus siber güvenlik şirketi Kaspersky, “İlk saldırı dalgası, yalnızca, genellikle 80 ve 443 numaralı bağlantı noktalarında çalışan gelişmiş bir pasif arka kapı olan Samurai ile güvenliği ihlal edilen Microsoft Exchange Sunucularını hedef aldı.” söz konusu bugün yayınlanan bir raporda
“Kötü amaçlı yazılım, rastgele C# kod yürütülmesine izin verir ve saldırganın uzak sistemi yönetmesine ve hedeflenen ağ içinde yanal olarak hareket etmesine izin veren birden çok modülle birlikte kullanılır.”
Slovak siber güvenlik firması ESET tarafından Websiic takma adıyla da izlenen ToddyCat, Asya’daki özel şirketlere ve Avrupa’daki bir devlet kurumuna ait e-posta sunucularını hedeflemek için ProxyLogon Exchange kusurlarından yararlandığı için ilk olarak Mart 2021’de gün ışığına çıktı.
China Chopper web kabuğunun konuşlandırılmasından sonraki saldırı dizisi, bir dropper’ın yürütülmesine yol açar ve bu da, ikinci aşama yükleyiciyi başlatmak için Windows Kayıt Defteri değişikliklerini yapmak için kullanılır. Samuray’ı çalıştırmaktan sorumlu üçüncü aşama .NET yükleyici.
Arka kapı, tersine mühendisliğe dirençli hale getirmek için şaşırtma ve kontrol akışı düzleştirme gibi teknikleri kullanmanın yanı sıra, bileşenlerin keyfi komutları yürütmeyi ve güvenliği ihlal edilmiş ana bilgisayardan ilgili dosyaları dışarı sızdırmayı mümkün kılması bakımından modülerdir.
Ayrıca belirli olaylarda, Samuray implantı tarafından oluşturulan ve muhtemelen birden fazla operatörün aynı makine üzerinde aynı anda çalışmasına izin veren ortak bir araç olarak işlev gören Ninja adlı karmaşık bir araç gözlemlendi.
Kobalt Strike gibi diğer sömürü sonrası araç setleriyle benzerlikleri olmasına rağmen, kötü amaçlı yazılım, saldırganın “uzak sistemleri kontrol etmesine, tespit edilmesini önlemesine ve hedeflenen bir ağın derinliklerine sızmasına” olanak tanır.
ToddyCat kurbanlarının geleneksel olarak Çince konuşan gruplar tarafından hedef alınan ülkeler ve sektörlerle ilgili olmasına rağmen, çalışma şeklini bilinen bir tehdit aktörüne bağlayan hiçbir kanıt yoktur.
Kaspersky güvenlik araştırmacısı Giampaolo Dedola, “ToddyCat, algılamayı önlemek için birden fazla teknik kullanan ve bu nedenle düşük bir profil tutan gelişmiş bir APT grubudur.” Dedi.
“Hem hükümet hem de askeri olarak etkilenen kuruluşlar, bu grubun çok yüksek profilli hedeflere odaklandığını ve muhtemelen jeopolitik çıkarlarla ilgili kritik hedeflere ulaşmak için kullanıldığını gösteriyor.”