Comunicato stampa
50KB
giugno 21, 2022 - Kaspersky
Kaspersky: ToddyCat, threat actor avanzato, colpisce soggetti di alto profilo con un nuovo malware
Milano, 21 giugno 2022
I ricercatori di #kaspersky hanno osservato una campagna ancora in corso condotta da un gruppo criminale APT (minacce persistenti avanzate) soprannominato ToddyCat, che si concentra sulla compromissione di più server Microsoft Exchange utilizzando due programmi dannosi: la backdoor Samurai e il trojan Ninja. La campagna ha interessato principalmente i settori governativi e militari in Europa e in Asia.
ToddyCat è un gruppo APT sofisticato relativamente nuovo, la cui attività è stata rilevata per la prima volta dai ricercatori di #kaspersky nel dicembre 2020, a seguito di una serie di attacchi ai server Microsoft Exchange delle vittime. Nel periodo febbraio-marzo 2021, #kaspersky ha osservato una rapida escalation: ToddyCat ha iniziato ad abusare della vulnerabilità ProxyLogon sui server Microsoft Exchange per compromettere diverse organizzazioni in Europa e Asia. Successivamente, a partire da settembre 2021, il gruppo ha spostato la sua attenzione sui computer desktop di enti governativi e diplomatici in Asia. Anche nel 2022 il gruppo ha continuato ad aggiornare il proprio arsenale e ad eseguire attacchi.
Sebbene non sia chiaro quale sia il vettore iniziale di infezione per le ultime attività, i ricercatori hanno condotto un’analisi approfondita del #malware utilizzato nelle campagne. ToddyCat impiega la backdoor Samurai e il trojan Ninja, due strumenti sofisticati di cyberspionaggio progettati per penetrare in profondità nelle reti prese di mira e agire furtivamente.
Samurai è una backdoor modulare e è un componente della fase finale dell’attacco che consente all’attaccante di amministrare il sistema da remoto e di muoversi lateralmente all’interno della rete compromessa. Questo #malware si distingue perché fa ampio uso della tecnica di “control-flow flattening”, ovvero manipola il flusso del programma attraverso diverse strutture di controllo e condizioni per passare da un’istruzione all’altra, rendendo difficile tracciare l’ordine delle azioni del codice. Inoltre, viene utilizzato per lanciare un altro nuovo #malware, denominato Ninja Trojan, un complesso strumento di collaborazione che consente a più operatori di lavorare contemporaneamente sulla stessa macchina.
Ninja Trojan fornisce anche un ampio set di comandi che consente agli attaccanti di controllare i sistemi da remoto evitando il rilevamento. Di solito viene caricato nella memoria di un dispositivo e viene attivato da vari loader. Ninja Trojan inizia l’operazione recuperando i parametri di configurazione del payload crittografato, per poi infiltrarsi all’interno di una rete compromessa. Le capacità del #malware includono la gestione dei file system, l’avvio di reverse shell, l’inoltro di pacchetti TCP e persino l’attivazione delle funzionalità dannose solo in specifici archi temporali, che possono essere configurati dinamicamente utilizzando un comando preciso.
Il #malware assomiglia anche ad altri framework di post-exploitation ben noti, come CobaltStrike, con le caratteristiche di Ninja che gli permettono di limitare il numero di connessioni dirette dalla rete presa di mira ai sistemi di comando e controllo remoti senza accesso a #internet. Inoltre, può controllare gli indicatori HTTP e camuffare il traffico dannoso all’interno di richieste HTTP, facendole apparire legittime modificando l’intestazione HTTP e i percorsi URL. Si tratta, quindi, di capacità che rendono Ninja Trojan particolarmente furtivo.
“ToddyCat è un threat actor sofisticato con elevate competenze tecniche in grado di passare inosservato e farsi strada nelle organizzazioni di alto livello. Nonostante il numero di loader e di attacchi scoperti nell’ultimo anno, non abbiamo ancora una visibilità completa delle loro operazioni e delle loro tattiche. Un’altra caratteristica degna di nota di ToddyCat è la sua attenzione alle capacità avanzate del #malware, Ninja Trojan deve il suo nome al fatto che sia difficile da rilevare e, quindi, da fermare. Il modo migliore per affrontare questo tipo di minaccia è utilizzare difese multistrato, che forniscano informazioni sugli asset interni e rimangano aggiornate con le ultime informazioni di threat intelligence” ha commentato #giampaolodedola, security expert di #kaspersky.
Per saperne di più su ToddyCat, le sue tecniche e i modi per proteggere la rete da attacchi informatici è disponibile il report su Securelist.
Per evitare di essere vittima di un attacco mirato i ricercatori di #kaspersky consigliano di:
- Fornire al team SOC l’accesso alla threat intelligence più aggiornata (TI). #kaspersky Threat Intelligence Portal offre un unico punto di accesso per la threat intelligence dell’azienda, che fornisce dati e approfondimenti sui cyberattacchi raccolti da #kaspersky in quasi 25 anni di esperienza. L’accesso alle sue funzioni è gratuito e consente agli utenti di controllare file, URL e indirizzi IP. È disponibile al seguente link.
- Aggiornare il team di #cybersecurity per prepararlo ad affrontare le minacce mirate più recenti con la formazione online di Kaspersky, sviluppata dagli esperti del GReAT.
- Per il rilevamento a livello di endpoint, l’indagine e la risoluzione tempestiva degli incidenti, è importante implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
- Oltre ad adottare una protezione di base per gli endpoint, è importante implementare una soluzione di sicurezza di livello aziendale che rilevi sin dalla loro fase iniziale le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
- Molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering, pertanto è opportuno introdurre una formazione sulla security awareness per dare indicazioni pratiche in ambito di #cybersecurity al team, ad esempio attraverso la Kaspersky Automated Security Awareness Platform.
News correlate |
||
|
|
|
febbraio 01, 2024
|
settembre 14, 2022
|
settembre 06, 2022
|
|
Kaspersky ha contribuito alla lotta contro il crimine informatico internazionale partecipando all'Operation Synergia, che coinvolg... |
L’evento digitale “Nuove minacce cyber, come e quali dati usare per difendersi” si terrà il 21 settembre alle 11.00Gli esperti par... |
Tra il 1° luglio 2021 e il 30 giugno 2022, le soluzioni di sicurezza #kaspersky hanno rilevato più di 384.000 utenti colpiti da qu... |
Scarica tutto 
Ti potrebbe interessare anche |
||
|
|
|
|
luglio 28, 2022
|
giugno 28, 2022
|
giugno 27, 2022
|
|
Milano, 28 luglio 2022Il 26 luglio, utilizzando il sistema automatico interno per il monitoraggio dei repository open-source, i ri... |
Milano, 28 giugno 2022TinyChech è uno strumento unico e innovativo progettato per rilevare gli #stalkerware sui dispositivi mobili... |
Milano, 27 giugno 2022A metà ottobre 2021, #kaspersky ICS CERT ha scoperto un threat actor di lingua cinese, precedentemente scono... |
Scarica tutto 
Condividi
Condividi via mail 
Automotive
Sport
Events
Art&Culture
Design
Fashion&Beauty
Food&Hospitality
Tecnologia
Nautica
Racing
Excellence
Corporate
OffBeat
Green
Gift
Pop
Heritage
Entertainment
Health & Wellness