Нашествие Samurai и Ninja

«Лаборатория Касперского» обнаружила, что с 2021 года кибергруппа ToddyCat проводит сложные целевые атаки на государственные организации и предприятия оборонного сектора Европы и Азии, в том числе России. Впервые атаки ToddyCat исследователи «Лаборатории Касперского» заметили в декабре 2020 года. В феврале-марте 2021 года они зафиксировали резкое усиление активности группы: атакующие начали использовать уязвимость ProxyLogon в серверах Microsoft Exchange для атак на компании в Европе и Азии. С сентября 2021 года группа переключила своё внимание на компьютеры в сетях азиатских государственных органов и дипломатических представительств.

Особенности используемых вредоносов

Участки ToddyCat компрометируют серверы Microsoft Exchange с помощью неизвестного эксплойта и уязвимости ProxyLogon. При этом используются уникальная закладка Samurai и троянец Ninja — два продвинутых инструмента для кибершпионажа. Они разработаны таким образом, чтобы после проникновения в целевые сети минимизируют свою активность, долго оставаясь незамеченными.

Samurai — это модульная закладка, компонент финальной стадии атаки — закрепления в сети жертвы. Она позволяет атакующему управлять удалённой системой и перемещаться по скомпрометированной сети. Особенность вредоноса в том, что он использует множественный поток команд и операторы выбора, чтобы переключаться с одной инструкции на другую. Это затрудняет отслеживание порядка действий в коде. Также Samurai используется для запуска ещё одной вредоносной программы, троянца Ninja, который позволяет работать одновременно на одном устройстве многим операторам.

Троянец Ninja предоставляет оператору широкий набор команд, которые позволяют атакующим контролировать удалённые системы, избегая детектирования. Обычно команды загружаются в память устройства и запускаются разными загрузчиками. Сначала Ninja восстанавливает параметры конфигурации из зашифрованного эксплойта, а затем глубоко проникает в скомпрометированную сеть. Вредонос может управлять файловыми системами, запускать обратное подключение (reverse shell), отправлять TCP-пакеты и даже брать сеть под контроль в определённые периоды времени.

«ToddyCat — это продвинутая кибергруппа с высокими техническими навыками, которая способна оставаться незамеченной и проникать в крупные известные организации, – предупреждает руководитель российского исследовательского центра «Лаборатории Касперского» Мария Наместникова. – В течение прошлого года мы обнаружили множество загрузчиков и атак, но у нас всё ещё нет полной картины их операций и тактик. ToddyCat использует особенно сложное вредоносное ПО. Наиболее эффективно противостоять ему можно, если использовать многоуровневую защиту — тщательно мониторить внутренние ресурсы и отслеживать аналитические данные о киберугрозах».

Лом для Samurai

Поскольку атаки данных вредоносов являются целенаправленным и пока нет предоставления о том, как именно происходит первоначальное заражение, точных рекомендации эксперты не дают. Они предлагают предприятиям лишь общие правила организации защиты: подписать свой SOC на сервисы информирования об угрозах (Threat Intelligence), внедрять EDR-решения и средства защиты с antiAPT, а также обучать сотрудников базовым правилам кибергигиены. Однако поскольку атакуемые группой ToddyCat предприятия относятся к ОПК, то логично для защиты от этих вредоносов подключиться к системе ГосСОПКА. Кроме того, можно рекомендовать перейти с устаревших решений Microsoft, типа Exchange, на что-то более современное и защищённое. В России продукты иностранных производителей вряд ли будут поддерживаться, так что процесс перехода на отечественное ПО откладывать не стоит.

Поделиться:
Спецпроект

Компания iFellow объявила о переходе на российскую платформу CommuniGate Pro

Подробнее
Спецпроект

У общественного транспорта Ярославской области появилось мобильное приложение

Подробнее


Подпишитесь
на нашу рассылку