Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

APT ToddyCat атакует Exchange-серверы в Европе и Азии

23/06/22

Micro E

 

ToddyCat атаковала серверы Microsoft Exchange в Тайване и Вьетнаме с помощью web-оболочки China Chopper , получала удаленный доступ к административным сетям жертв и запускала многоступенчатую цепочку заражения. Таким атакам подверглись и другие страны: Индия, Индонезия, Иран, Малайзия, Пакистан, Россия, Словакия, Узбекистан, Таиланд, Афганистан и Великобритания.

Согласно отчетам компании ESET, в марте 2021 года ToddyCat использовала уязвимость ProxyLogon для атаки на серверы электронной почты правительственных учреждений по всей Азии и Европе. ProxyLogon – уязвимость Microsoft Exchange, использование которой позволяет злоумышленникам получить доступ к серверам электронной почты, напоминает Securitylab.

Совсем недавно Лаборатория Касперского опубликовала свой отчет о ToddyCat, в котором говорится, что первая волна атак была направлена исключительно на серверы Microsoft Exchange, которые хакеры взломали с помощью сложного бэкдора Samurai. Вредонос написан на C#, работает на портах 80 и 443 и использует несколько модулей, позволяющих получить удаленный контроль над зараженной системой, а также обеспечивающих боковое перемещение в сети жертвы. Чтобы развернуть бэкдор, злоумышленники использовали web-оболочку China Chopper, с помощью которой модифицировали реестр Windows, а затем запускали второй и третий этапы .NET-дроппера для запуска Samurai.

Джампаоло Дедола, ИБ-специалист Лаборатории Касперского, назвал ToddyCat группой опытных хакеров, использующих множество методов для избежания обнаружения. Исследователи ЛК обеспокоены деятельностью группировки, так как она нацелена на правительственный и военный секторы.

Темы:УгрозыAPT-группыMicrosoft Exchange

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...