Un actor de amenazas persistentes avanzadas (APT) con nombre en c\u00f3digo ToddyCat<\/b> se ha relacionado con una serie de ataques dirigidos a entidades de alto perfil en Europa y Asia desde al menos diciembre de 2020.<\/p>\n
Se dice que el colectivo adversario relativamente nuevo comenz\u00f3 sus operaciones apuntando a los servidores de Microsoft Exchange en Taiw\u00e1n y Vietnam utilizando un exploit desconocido para implementar el shell web de China Chopper y activar una cadena de infecci\u00f3n de m\u00faltiples etapas.<\/p>\n
Otros pa\u00edses prominentes a los que se dirigen son Afganist\u00e1n, India, Indonesia, Ir\u00e1n, Kirguist\u00e1n, Malasia, Pakist\u00e1n, Rusia, Eslovaquia, Tailandia, el Reino Unido y Uzbekist\u00e1n, justo cuando el actor de amenazas evolucion\u00f3 su conjunto de herramientas en el transcurso de diferentes campa\u00f1as.<\/p>\n
“La primera ola de ataques se dirigi\u00f3 exclusivamente a los servidores de Microsoft Exchange, que estaban comprometidos con Samurai, una puerta trasera pasiva sofisticada que generalmente funciona en los puertos 80 y 443”, dijo la empresa rusa de ciberseguridad Kaspersky. dijo<\/a> en un informe publicado hoy.<\/p>\n “El malware permite la ejecuci\u00f3n de c\u00f3digo C# arbitrario y se usa con m\u00faltiples m\u00f3dulos que permiten al atacante administrar el sistema remoto y moverse lateralmente dentro de la red objetivo”.<\/p>\n ToddyCat, tambi\u00e9n rastreado bajo el nombre de Websiic por la empresa de ciberseguridad eslovaca ESET, sali\u00f3 a la luz por primera vez en marzo de 2021 por su explotaci\u00f3n de las fallas de ProxyLogon Exchange para apuntar a servidores de correo electr\u00f3nico pertenecientes a empresas privadas en Asia y un organismo gubernamental en Europa.<\/p>\n La secuencia de ataque posterior al despliegue del shell web de China Chopper conduce a la ejecuci\u00f3n de un dropper que, a su vez, se utiliza para realizar modificaciones en el Registro de Windows para lanzar un cargador de segunda etapa, que, por su parte, est\u00e1 dise\u00f1ado para desencadenar un cargador .NET de tercera etapa que es responsable de ejecutar Samurai.<\/p>\n La puerta trasera, adem\u00e1s de usar t\u00e9cnicas como la ofuscaci\u00f3n y el aplanamiento del flujo de control para que sea resistente a la ingenier\u00eda inversa, es modular en el sentido de que los componentes permiten ejecutar comandos arbitrarios y extraer archivos de inter\u00e9s del host comprometido.<\/p>\n Tambi\u00e9n se observ\u00f3 en incidentes espec\u00edficos una herramienta sofisticada llamada Ninja que se gener\u00f3 por el implante Samurai y probablemente funciona como una herramienta de colaboraci\u00f3n que permite que varios operadores trabajen en la misma m\u00e1quina simult\u00e1neamente.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/Investigadores-encuentran-nuevos-ataques-de-malware-dirigidos-a-entidades-gubernamentales.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1655818640_569_Nuevo-grupo-de-piratas-informaticos-ToddyCat-en-el-radar-de.jpg\")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n