El grupo de APT ToddyCat compromete a múltiples organizaciones en Europa y Asia

  • Endpoint

Kaspersky. APT en el mundo

El objetivo de ToddyCat es comprometer múltiples servidores de Microsoft Exchange utilizando dos programas maliciosos: el backdoor Samurai y el troyano Ninja. La campaña se dirige principalmente a sectores gubernamentales y militares europeos y asiáticos.

Recomendados: 

SASE. El futuro de la seguridad en la red. Leer

Informe. Tendencias tecnológicas 2022 Leer 

Los analistas de Kaspersky alertan de una campaña dirigida por ToddyCat, un grupo de amenazas persistentes avanzadas (APT) conocido por realizar una serie de ataques a los servidores de Microsoft Exchange utilizando la vulnerabilidad ProxyLogon. A partir de septiembre de 2021, el grupo desvió su atención hacia las máquinas virtuales relacionadas con gobiernos y entidades diplomáticas en Asia, y actualmente, el grupo actualiza constantemente sus ataques y mantiene su actividad.

Aunque no está claro cuál es el vector inicial de infección de los últimos ataques, los expertos han visto que ToddyCat emplea dos herramientas de ciberespionaje diseñadas para penetrar profundamente en las redes objetivo de manera sigilosa. Se trata de Samurai, un backdoor modular que permite al ciberdelincuente administrar el sistema remoto y moverse lateralmente dentro de la red comprometida, y que además se utiliza para lanzar el malware apodado Ninja Trojan, que permite que varios operadores trabajen en el mismo equipo simultáneamente.

El troyano Ninja también proporciona un amplio conjunto de comandos, lo que permite a los atacantes controlar sistemas remotos mientras evitan la detección. Las capacidades de este malware incluyen la gestión de sistemas de archivos, el inicio de shells inversos, el reenvío de paquetes TCP e, incluso, la toma de control de la red en periodos de tiempo concretos, que pueden ser configurados dinámicamente mediante un comando específico. El malware también se asemeja a otros conocidos frameworks de post-explotación, como CobaltStrike. Asimismo, Ninja puede limitar el número de conexiones directas desde la red objetivo a los sistemas remotos de comando y control sin acceso a Internet, y es capaz de camuflar el tráfico malicioso en las peticiones HTTP haciéndolas parecer legítimas mediante la modificación de las cabeceras HTTP y las rutas URL.

"ToddyCat es un sofisticado actor de amenazas con elevadas habilidades técnicas, capaz de pasar desapercibido y abrirse paso en organizaciones de alto nivel. A pesar del número de ataques descubiertos durante el último año, todavía no tenemos un mapa completo de sus operaciones y tácticas. Otra característica destacable de ToddyCat es que se centra en las capacidades avanzadas del malware. De hecho, el troyano Ninja recibió su nombre por un motivo: es difícil de detectar y, por tanto, de detener. La mejor manera de enfrentarse a este tipo de amenazas es utilizar defensas multicapa, que proporcionen información sobre los activos internos y se mantengan al día con la última inteligencia frente a amenazas", explica Giampaolo Dedola, experto en seguridad de Kaspersky.