ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

«Лаборатория Касперского» подробно рассказала о хакерской группировке ToddyCat, которая, по словам экспертов, несёт ответственность за серии кибератак, проводимые на высокостатусные азиатские и европейские компании и учреждения. Активность этой киберпреступной APT-группы регистрируется специалистами Kaspersky с конца 2020 года.

В «Лаборатории Касперского» отмечают, что группу ToddyCat не удаётся связать с какими-либо другими известными хакерскими группировками, как и сформировать её исчерпывающий профиль. При этом двумя основными отличительными признаками этой группировки является применение двух неизвестных раньше инструментов, названных специалистами Kaspersky «троянец Ninja» и «бэкдор Samurai».

Активность хакерской группировки ToddyCat наблюдается с декабря 2020 года, когда её членами были скомпрометированы сети серверов Microsoft Exchange во Вьетнаме и Тайване с использованием неизвестного эксплойта.

В начальный период своей активности (до февраля 2021 года) ToddyCat проводила атаки на небольшой перечень тайваньских и вьетнамских серверов, которые были связаны с тремя компаниями.

На основе имеющихся данных, «Лаборатория Касперского» заявляет, что на сегодняшний день APT-группа ToddyCat сосредотачивает свои усилия на проведении атак на высокоуровневые цели. Чаще всего это военные и правительственные организации, в том числе и военные подрядчики.

Если до февраля 2021 года атаки проводились только на компании во Вьетнаме и Тайване, то после обнародования уязвимости ProxyLogon выяснилось, что жертв атак ToddyCat намного больше. Группировка атаковала британские, таиландские, российские, словацкие, пакистанские, малазийские, иранские, индийские, афганские организации.

В «Лаборатории Касперского» убеждены, что ToddyCat является продвинутой APT-группировкой, задействующей огромное количество механизмов обхода выявления своей активности, поэтому излишнего внимания она к себе никогда не привлекает. Во время проводимого расследования у экспертов Kaspersky получилось собрать большое число образцов, но связать атаки ToddyCat с другими известными хакерскими группами не удалось.

В соответствии с телеметрией «Лаборатории Касперского», группировке ToddyCat наиболее интересны цели, работающие в регионе Юго-Восточной Азии, но активность этих хакеров также затрагивает европейские организации.

Полная версия отчета доступна по этой ссылке.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: