È stata rilevata una nuova minaccia, tuttora attiva, che prende di mira i server Microsoft Exchange in Europa e in Asia: la responsabilità è stata attribuita al gruppo criminale (APT, Advanced Persistent Threat) ToddyCat da dicembre 2020, con l’operazione che ha generato come risultato la diffusione della backdoor Samurai e del nuovo trojan Ninja, che hanno consentito compromissioni di sistema e movimento laterale nelle reti aziendali.
Indice degli argomenti
ToddyCat e la sua backdoor contro Microsoft Exchange
Da febbraio 2021, il gruppo APT ToddyCat, analizzato nel dettaglio da un recente rapporto di Kaspersky, ha intensificato i suoi attacchi ed è alla ricerca di server Microsoft Exchange ancora sprovvisti di patch per la vulnerabilità ProxyLogon per eseguire attacchi.
Durante il monitoraggio dell’attività di questo gruppo malevolo, sono stati scoperti una backdoor passiva di nome Samurai e un nuovo trojan Ninja. Entrambi i malware prendono il controllo dei sistemi infetti e consentono lo spostamento laterale all’interno delle reti compromesse.
Una volta ottenuto l’accesso all’infrastruttura dell’organizzazione target, sfruttando la vulnerabilità non ancora corretta, il gruppo rilascia la backdoor Samurai che comunica sulle porte 80 e 443 e che supporta l’esecuzione di codice. Tra le funzionalità di questo malware (modulare) si sottolineano quelle con cui gli aggressori possono controllare in remoto la macchina infetta, esfiltrare file, avviare connessioni proxy e spostarsi lateralmente all’interno della rete.
Oltre all’esclusivo utilizzo della backdoor Samurai, spesso il gruppo ha utilizzato nei suoi attacchi uno strumento, presumibilmente facente parte di un toolkit proprio di ToddyCat, che è stato denominato Ninja. Il malware sembra funzionare come uno strumento collaborativo che consente a più aggressori di controllare la stessa macchina contemporaneamente, oltre che a fornire vari comandi messi a disposizione degli attaccanti.
Alcune delle organizzazioni violate dal gruppo ToddyCat, in tre diversi paesi, sono state violate nello stesso periodo anche da altri attaccanti sostenuti dalla Cina, che utilizzavano la backdoor di FunnyDream. Segnale che ha fatto emergere l’ipotesi, per quanto non ancora certa, che anche ToddyCat possa avere legami con la Cina. Ricordiamo tuttavia che Kaspersky tiene a precisare nell’analisi che, ad oggi, non ci sono prove per le quali le due famiglie di malware utilizzate dai due gruppi interagiscono tra loro.
Le vittime prese di mira sono organizzazioni di alto profilo appartenenti al settore militare e governativo. Il gruppo sembra infatti essere concentrato sul raggiungimento di obiettivi critici in linea con gli interessi geopolitici.
Evoluzione delle ondate di attacchi
La prima ondata di attacchi viene fatta risalire almeno a dicembre 2020 e si è interrotta nel febbraio 2021. A quel tempo, il gruppo prendeva di mira solo un piccolo numero di organizzazioni governative in Vietnam e Taiwan. A questa ondata ne è seguita però una successiva, osservata tra febbraio e maggio 2021, ha iniziato a prendere di mira organizzazioni di una più lunga lista di paesi, tra cui Iran, Russia, India e Regno Unito.
Nell’ultima fase più recentemente osservata, durata fino a febbraio 2022, il gruppo APT ha preso di mira gli stessi Paesi, più un insieme di altre organizzazioni provenienti da Uzbekistan, Kirghizistan e Indonesia.
Si evidenzia in ultimo un elenco dettagliato, fornito direttamente nel report di Kaspersky citato in questo articolo, di indicatori di compromissione, l’utilizzo dei quali è consigliato proprio per migliorare la sicurezza della propria infrastruttura, per un migliore rilevamento delle minacce. Il gruppo ToddyCat infatti, come abbiamo visto, ha rivolto il suo interesse nei settori governativo e militare e si prevede che continuerà con le sue operazioni.