APT ToddyCat ataca objetivos militares y gubernamentales en Europa y Asia
El grupo APT, hasta ahora indocumentado, lleva más de un año atacando a organizaciones de alto nivel en Asia y Europa.
Los investigadores de Kaspersky Lab han publicado un análisis de un grupo de amenazas persistentes avanzadas (APT) no documentado anteriormente, al que han denominado ToddyCat.
El actor de la amenaza, que ha atacado a organizaciones de alto perfil en Asia y Europa, a menudo irrumpe en las organizaciones hackeando los servidores de Microsoft Exchange orientados a Internet, siguiendo con una cadena de infección de varias etapas que despliega dos programas de malware personalizados.
"Todavía tenemos poca información sobre este actor, pero sabemos que sus principales signos distintivos son dos herramientas antes desconocidas que llamamos 'Samurai backdoor' (Puerta Trasera Samurai) y 'Ninja Trojan' (Troyano Ninja)", según han explicado los investigadores.
Los exploits de Microsoft Exchange
Según la telemetría de Kaspersky Lab, las campañas maliciosas de ToddyCat se remontan a diciembre de 2020, cuando el grupo atacó un número limitado de servidores de Microsoft Exchange pertenecientes a organizaciones de Taiwán y Vietnam.
No está claro qué vulnerabilidad explotó el grupo en esos primeros ataques, porque no se recuperó ninguna muestra del exploit, pero a partir de febrero de 2021 el grupo utilizó ProxyLogon, una cadena de exploits de ejecución remota de código que afecta a Microsoft Exchange y que Microsoft parcheó en marzo de 2021 después de que se descubrieran ataques que abusaban de ella en la naturaleza. Es posible que ToddyCat fuera uno de los grupos de hackers, junto con el actor patrocinado por el estado chino Hafnium, que tuvo acceso al exploit antes de que fuera parcheado.
Al igual que Hafnium, tras el compromiso de los servidores Exchange, los hackers de ToddyCat desplegaron web shells —una variante de China Chopper— para mantener el acceso a los servidores. A continuación, utilizaron este acceso para descargar y ejecutar un dropper de malware llamado debug.exe, cuyo propósito era configurar múltiples claves de registro y descifrar cargas útiles adicionales para ejecutarlas. La cadena de infección incluye dos cargadores de malware adicionales que tienen cargas útiles cifradas, y que finalmente dan lugar al despliegue de un programa de puerta trasera que los investigadores de Kaspersky denominaron Samurai.
Las puertas traseras Samurai y Ninja
Samurai es un backdoor modular escrito en C# que utiliza la clase .NET HTTPListener para recibir e interpretar peticiones HTTP POST. Los atacantes utilizan esta funcionalidad para enviar código fuente cifrado en C# que el backdoor descifra y ejecuta en tiempo de ejecución.
"El malware está ofuscado con un algoritmo desarrollado para aumentar la dificultad de la ingeniería inversa, haciendo que el código sea complicado de leer", dijeron los investigadores de Kaspersky. "Además, el malware utiliza múltiples bucles while y cambia de casos para saltar entre instrucciones, aplanando así el flujo de control y dificultando el seguimiento del orden de las acciones en el código".
Los investigadores identificaron múltiples módulos de Samurai utilizados por los atacantes que les permitían ejecutar comandos remotos, enumerar archivos en el disco local, exfiltrar archivos y abrir conexiones proxy a direcciones IP remotas en puertos específicos y procesar las respuestas.
"La engorrosa administración del backdoor Samurai utilizando argumentos en esta estructura sugiere que el backdoor Samurai es el componente del lado del servidor de una solución más grande, que incluye al menos otro componente cliente que proporciona una interfaz para los operadores, que se puede utilizar para cargar automáticamente algunos módulos predefinidos", dijeron los investigadores.
En algunos casos concretos, el backdoor Samurai se utilizó para desplegar otro programa malicioso que los investigadores denominaron Ninja. Este programa troyano está escrito en C++ y es mucho más complejo, proporcionando a los atacantes un control remoto total sobre el sistema. Los investigadores sospechan que este troyano forma parte de un kit de herramientas de post-explotación más grande desarrollado por el grupo que se asemeja a los comerciales como Cobalt Strike.
El troyano Ninja puede listar y gestionar los procesos en ejecución; gestionar el sistema de archivos; iniciar sesiones de shell inverso; inyectar código en procesos arbitrarios y cargar módulos adicionales.
"Además, la herramienta puede configurarse para comunicarse utilizando múltiples protocolos e incluye funciones para evadir la detección, camuflando su tráfico malicioso dentro de peticiones HTTP y HTTPS que intentan parecer legítimas, utilizando combinaciones populares de nombres de host y rutas de URL", dijeron los investigadores. "La configuración es totalmente personalizable y es similar a otras características proporcionadas por famosas herramientas de post-explotación como Cobalt Strike y sus perfiles C2 maleables".
El agente malicioso Ninja puede configurarse para trabajar dentro de marcos temporales específicos y puede actuar como servidor para otros agentes en la misma red, analizando y reenviando peticiones entre ellos y un servidor C2. Esto permite a los hackers operar en el interior de las redes sin abrir las conexiones a Internet de todas las máquinas infectadas y, en su lugar, dirigir todas las comunicaciones a través de un único nodo.ç
Centrarse en objetivos de alto nivel
Desde que los ataques comenzaron en diciembre de 2020, han continuado a lo largo de 2021 y hasta al menos febrero de este año. Kaspersky ha identificado organizaciones objetivo en Taiwán, Vietnam, Afganistán, India, Irán, Malasia, Pakistán, Rusia, Eslovaquia, Tailandia, Reino Unido, Kirguistán, Uzbekistán e Indonesia.
También cabe destacar que no todos los ataques ToddyCat utilizaban Microsoft Exchange como punto de entrada. En algunos casos, los investigadores descubrieron cargadores para el troyano Ninja que se entregaban en archivos ZIP a través de la aplicación de mensajería Telegram. Esto significa que el grupo se ha dirigido directamente a ciertos individuos también con el fin de conseguir un punto de apoyo dentro de las organizaciones de interés.
Los investigadores de Kaspersky observaron algunas coincidencias de víctimas con actores de amenazas de habla china, en particular con un grupo APT chino que utiliza un programa backdoor llamado FunnyDream. Sin embargo, a pesar de algunas similitudes, no hay pruebas sólidas que conecten a los dos grupos o familias de malware. La naturaleza de las organizaciones víctimas probablemente las convierte en objetivos interesantes para varios grupos APT, por lo que cualquier superposición podría ser una coincidencia.
"Las organizaciones afectadas, tanto gubernamentales como militares, muestran que este grupo se centra en objetivos de muy alto perfil y probablemente se utiliza para lograr objetivos críticos, probablemente relacionados con intereses geopolíticos", explicaron los investigadores de Kaspersky.
El informe de Kaspersky incluye varios hash de archivos para las muestras de malware ToddyCat descubiertas, así como otros indicadores de compromiso.
