New ToddyCat Hacker Group on Experts’ Radar After Targeting MS Exchange Servers

แฮ็กเกอร์กลุ่มใหม่ ToddyCat กำหนดเป้าหมายโจมตีไปยัง MS Exchange Servers

กลุ่ม APT ที่มีชื่อว่า ToddyCat ได้ถูกเชื่อมโยงเข้ากับการโจมตีจำนวนมากที่มุ่งเป้าไปที่หน่วยงานที่มีชื่อเสียงในยุโรป และเอเชียตั้งแต่เดือนธันวาคม 2020 ซึ่งดำเนินการโดยกำหนดเป้าหมายไปที่ Microsoft Exchange Servers ** ในไต้หวัน และเวียดนาม โดยการใช้เครื่องมือในการโจมตีที่ไม่เคยถูกพบมาก่อน เพื่อติดตั้ง China Chopper web shell

ประเทศหลักๆที่ตกเป็นเป้าหมายการโจมตี ประกอบไปด้วย อัฟกานิสถาน อินเดีย อินโดนีเซีย อิหร่าน คีร์กีซสถาน มาเลเซีย ปากีสถาน รัสเซีย สโลวาเกีย ไทย สหราชอาณาจักร และอุซเบกิสถาน ซึ่งผู้โจมตีมีการพัฒนาเครื่องมือที่ใช้ในการโจมตีอยู่ตลอด

“ระลอกแรกของการโจมตีมุ่งเป้าไปที่ Microsoft Exchange Server เท่านั้น ซึ่งถูกโจมตีโดย Samurai backdoor ซึ่งจะทำงานบนพอร์ต 80 และ 443” Kaspersky บริษัทรักษาความปลอดภัยทางไซเบอร์ของรัสเซียกล่าวในรายงานที่เผยแพร่ในวันนี้

"มัลแวร์ทำงานด้วยภาษา C# และมีการใช้งานโมดูลต่างๆจำนวนมาก เพื่อให้ผู้โจมตีสามารถเข้าควบคุมเครื่องได้ รวมไปถึงสามารถเคลื่อนย้ายไปยังเครื่องอื่นๆที่อยู่บนเครือข่ายได้ด้วยเช่นเดียวกัน"

ToddyCat หรือเป็นที่รู้จักในอีกชื่อว่า Websiic โดย ESET ปรากฏตัวครั้งแรกในเดือนมีนาคม 2564 จากการใช้ประโยชน์จากช่องโหว่ของ ProxyLogon Exchange เพื่อกำหนดเป้าหมายไปยังเซิร์ฟเวอร์อีเมลของบริษัทเอกชนในเอเชีย และหน่วยงานของรัฐในยุโรป

ลำดับการโจมตีหลังการติดตั้ง China Chopper web shell จะนำไปสู่การทำงานของ dropper ที่ถูกใช้เพื่อเปลี่ยนรีจิสทรีบน Windows เพื่อสั่งการทำงานของ second-stage loader ซึ่งได้รับการออกแบบมาเพื่อสั่งการทำงานของ third-stage .NET loader ซึ่งเป็นที่มาของการติดตั้ง Samurai Backdoor

นอกจากแบ็คดอร์จะใช้เทคนิคต่างๆ เช่น การหลบเลี่ยงการตรวจจับ เพื่อป้องกันการถูกวิเคราะห์จากเครื่องมือต่างๆแล้ว มันยังมีความสามารถในการค้นหาข้อมูลที่มีความสำคัญบนเครื่องของเหยื่อได้อีกด้วย

นอกจากนี้ นักวิจัยยังเห็นเครื่องมือที่น่าสนใจอีกตัวที่มีชื่อว่า Ninja ซึ่งถูกติดตั้งตามมาหลังจากการติดตั้ง Samurai และดูเหมือนว่าเครื่องมือดังกล่าวจะทำให้ผู้โจมตีหลายคนสามารถเข้ามาควบคุมเครื่องเหยื่อได้ในเวลาเดียวกัน

ลักษณะของมันจะคล้ายกับ Cobalt Strike ซึ่งทำให้ผู้โจมตีสามารถ "ควบคุมระบบจากระยะไกล หลีกเลี่ยงการตรวจจับ และเจาะต่อเข้าไปยังเครื่องอื่นๆในเครือข่ายของเป้าหมายได้"

นักวิจัยด้านความปลอดภัยของ Kaspersky กล่าวว่า "ToddyCat เป็นกลุ่ม APT ที่มีความซับซ้อน มีการใช้เทคนิคหลายอย่างเพื่อหลีกเลี่ยงการตรวจจับ จึงทำให้มันไม่ถูกพบมากนัก

“แต่จากการที่องค์กรที่ได้รับผลกระทบมีทั้งภาครัฐ และกองทัพ แสดงให้เห็นว่าผู้โจมตีกลุ่มนี้มุ่งเน้นไปที่เป้าหมายในระดับสูง และใช้เพื่อบรรลุเป้าหมายที่สำคัญ ซึ่งน่าจะเกี่ยวข้องกับผลประโยชน์ทางภูมิศาสตร์การเมืองโลก”

ที่มา : thehackernews

Read more