Un attore di minacce persistenti avanzate (APT) con il nome in codice di ToddyCat è stato collegato a una serie di attacchi rivolti a enti governativi e militari in Europa e Asia almeno dal dicembre 2020.
Il collettivo avversario, relativamente nuovo, avrebbe iniziato le sue operazioni prendendo di mira i server Microsoft Exchange di Taiwan e del Vietnam, utilizzando un exploit sconosciuto per distribuire la shell web China Chopper e attivare una catena di infezione a più stadi.
Tra gli altri Paesi di spicco individuati figurano Afghanistan, India, Indonesia, Iran, Kirghizistan, Malesia, Pakistan, Russia, Slovacchia, Tailandia, Regno Unito e Uzbekistan, con una rapida escalation di attacchi segnata dai miglioramenti apportati al set di strumenti nel corso delle campagne successive.
“La prima ondata di attacchi ha preso di mira esclusivamente i server Microsoft Exchange, che sono stati compromessi con Samurai, una sofisticata backdoor passiva che di solito funziona sulle porte 80 e 443“, ha dichiarato la società russa di cybersicurezza Kaspersky.
“Il malware consente l’esecuzione di codice C# arbitrario e viene utilizzato con più moduli che consentono all’aggressore di amministrare il sistema remoto e di muoversi lateralmente all’interno della rete bersaglio“.
ToddyCat, rintracciato anche sotto il moniker Websiic dalla società di cybersicurezza slovacca ESET, è venuto alla luce per la prima volta nel marzo 2021 per aver sfruttato le falle di ProxyLogon Exchange per colpire server di posta elettronica appartenenti ad aziende private in Asia e a un ente governativo in Europa.
La sequenza di attacco successiva alla distribuzione della shell web China Chopper porta all’esecuzione di un dropper che, a sua volta, viene utilizzato per apportare modifiche al registro di Windows per lanciare un loader di secondo livello che, da parte sua, è progettato per attivare un loader .NET di terzo livello, responsabile dell’esecuzione di Samurai.
La backdoor, oltre a utilizzare tecniche come l’offuscamento e l’appiattimento del flusso di controllo per renderla resistente al reverse engineering, è modulare in quanto i suoi componenti rendono possibile l’esecuzione di comandi arbitrari e l’esfiltrazione di file di interesse dall’host compromesso.
In alcuni incidenti specifici è stato osservato anche un sofisticato strumento chiamato Ninja, generato dall’impianto Samurai e che probabilmente funziona come strumento collaborativo, consentendo a più operatori di lavorare contemporaneamente sulla stessa macchina.
Nonostante le sue caratteristiche simili a quelle di altri toolkit post-exploitation come Cobalt Strike, il malware consente all’aggressore di “controllare sistemi remoti, evitare il rilevamento e penetrare in profondità in una rete mirata“.
Nonostante le vittime di ToddyCat siano legate a Paesi e settori tradizionalmente presi di mira da gruppi di lingua cinese, non ci sono prove che colleghino il modus operandi a un attore noto della minaccia.
“ToddyCat è un gruppo APT sofisticato che utilizza molteplici tecniche per evitare il rilevamento e quindi mantenere un basso profilo“, ha dichiarato Giampaolo Dedola, ricercatore di sicurezza del Kaspersky Global Research and Analysis Team (GReAT).
“Le organizzazioni colpite, sia governative che militari, dimostrano che questo gruppo è focalizzato su obiettivi di altissimo profilo ed è probabilmente utilizzato per raggiungere obiettivi critici, probabilmente legati a interessi geopolitici.”
