ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

«Лаборатория Касперского» подробно рассказала о хакерской группировке ToddyCat, которая, по словам экспертов, несёт ответственность за серии кибератак, проводимые на высокостатусные азиатские и европейские компании и учреждения. Активность этой киберпреступной APT-группы регистрируется специалистами Kaspersky с конца 2020 года.
В «Лаборатории Касперского» отмечают, что группу ToddyCat не удаётся связать с какими-либо другими известными хакерскими группировками, как и сформировать её исчерпывающий профиль. При этом двумя основными отличительными признаками этой группировки является применение двух неизвестных раньше инструментов, названных специалистами Kaspersky «троянец Ninja» и «бэкдор Samurai».
Активность хакерской группировки ToddyCat наблюдается с декабря 2020 года, когда её членами были скомпрометированы сети серверов Microsoft Exchange во Вьетнаме и Тайване с использованием неизвестного эксплойта.
В начальный период своей активности (до февраля 2021 года) ToddyCat проводила атаки на небольшой перечень тайваньских и вьетнамских серверов, которые были связаны с тремя компаниями.
На основе имеющихся данных, «Лаборатория Касперского» заявляет, что на сегодняшний день APT-группа ToddyCat сосредотачивает свои усилия на проведении атак на высокоуровневые цели. Чаще всего это военные и правительственные организации, в том числе и военные подрядчики.
Если до февраля 2021 года атаки проводились только на компании во Вьетнаме и Тайване, то после обнародования уязвимости ProxyLogon выяснилось, что жертв атак ToddyCat намного больше. Группировка атаковала британские, таиландские, российские, словацкие, пакистанские, малазийские, иранские, индийские, афганские организации.
В «Лаборатории Касперского» убеждены, что ToddyCat является продвинутой APT-группировкой, задействующей огромное количество механизмов обхода выявления своей активности, поэтому излишнего внимания она к себе никогда не привлекает. Во время проводимого расследования у экспертов Kaspersky получилось собрать большое число образцов, но связать атаки ToddyCat с другими известными хакерскими группами не удалось.
В соответствии с телеметрией «Лаборатории Касперского», группировке ToddyCat наиболее интересны цели, работающие в регионе Юго-Восточной Азии, но активность этих хакеров также затрагивает европейские организации.
Полная версия отчета доступна по этой ссылке.



