Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers ToddyCat APT explorando servidores Microsoft Exchange vulner√°veis

ToddyCat, um ator altamente qualificado de amea√ßas persistentes avan√ßadas (APT), famoso por lan√ßar ataques direcionados na Europa e na √Āsia, atualizou recentemente seu arsenal de ferramentas e m√©todos, significando uma evolu√ß√£o em seu modus operandi.

Descobertas recentes dos pesquisadores de segurança cibernética da SecureList by Kaspersky fornecem insights sobre:-

  • Novo conjunto de ferramentas
  • Malware para roubo de dados
  • T√©cnicas de movimento lateral
  • Opera√ß√Ķes de espionagem

Os pesquisadores afirmaram que os hackers por tr√°s do grupo ToddyCat APT est√£o explorando ativamente os vulner√°veis ‚Äč‚Äčservidores Microsoft Exchange.

Documento

Abaixo, mencionamos todas as ferramentas que os agentes de amea√ßas por tr√°s do grupo ToddyCat APT usam: ‚Äď

  • Carregadores padr√£o
  • Carregador personalizado
  • Ninja
  • LoFiSe
  • Carregador DropBox
  • PCexter
  • Backdoor UDP passivo
  • Ataque Cobalto

ToddyCat APT explorando servidores Exchange

ToddyCat realiza espionagem infiltrando-se em redes com carregadores e Trojans. Depois de obter acesso, eles coletam dados sobre hosts conectados e realizam atividades de descoberta, enumerando contas de domínio e servidores usando utilitários padrão do sistema operacional, como net e ping:-

net group "domain admins" /dom
net user %USER% /dom
net group "domain computers" /dom | findstr %VALUABLE_USER%
ping %REMOTE_HOST% -4

Os invasores alteram regularmente as credenciais e empregam scripts em uma tarefa agendada que é executada brevemente e removida, juntamente com os compartilhamentos de rede, para cada host visado.

As tarefas agendadas podem incluir comandos de descoberta ou scripts para coleta de dados. O invasor pode acessar a saída dessas tarefas montando uma unidade remota como um compartilhamento local durante o movimento lateral.

Os comandos do PowerShell do script PS1 foram duplicados em um script BAT para evitar a detecção.

N√≥s recomendamos:  Xbox Series S, revelamos o verdadeiro ponto fraco do console da Microsoft

Para evitar suspeitas, o grupo emprega consistentemente nomes de tarefas comuns como ‘one’ e ‘tpcd’ para uma sess√£o. Os nomes dos scripts s√£o caracteres aleat√≥rios que percorrem o teclado. Eles montam e excluem um compartilhamento tempor√°rio no host de exfiltra√ß√£o no final da atividade.

O agente da amea√ßa re√ļne arquivos de v√°rios hosts, arquiva-os e exfiltra-os por meio de armazenamento p√ļblico.

LoFiSe, projetado para coleta de arquivos, √© complementado por outros scripts para enumerar e coletar documentos recentemente modificados com extens√Ķes espec√≠ficas.

Além disso, as variantes de script para coleta de dados não utilizavam arquivos compactados. Os arquivos foram copiados para pastas específicas, transferidos manualmente para o host de exfiltração via xcopy e depois compactados com 7z.

COIs

Loaders
97D0A47B595A20A3944919863A8163D1¬† ¬† ¬† ¬† ¬† ¬† ¬† ¬† ¬† ¬† Variant ‚ÄúUpdate‚ÄĚ
828F8B599A1CC4A02A2C3928EC3F5F8B ¬† ¬† ¬† ¬† ¬† ¬† ¬† ¬† ¬† ¬† Variant ‚ÄúVLC‚ÄĚ A
90B14807734045F1E0A47C40DF949AC4 ¬† ¬† ¬† ¬† ¬† ¬† ¬† ¬† ¬† ¬† Variant ‚ÄúVLC‚ÄĚ B
0F7002AACA8C1E71959C3EE635A85F14                     Tailored loader
D3050B3C7EE8A80D8D6700624626266D                    Tailored loader
D4D8131ED03B71D58B1BA348F9606DF7                    Tailored loader
Passive UDP backdoors
65AF75986577FCC14FBC5F98EFB3B47E
Dropbox exfiltrator
BEBBEBA37667453003D2372103C45BBF
LoFiSe
14FF83A500D403A5ED990ED86296CCC7
4AD609DDDF2C39CDA7BDBE2F9DC279FD
Pcexter
D0CD88352638F1AE101C2A13356AB6B7
318C16195F62094DADCC602B547BBE66
Dropper
C170F05333041C56BCC39056FECB808F