Исследователи предупреждают о возобновлении атак на высокопоставленные организации, предпринятых китайским APT-актером, известным в отрасли как ToddyCat. Группа совершенствует свою тактику, а также набор вредоносных инструментов с 2020 года, когда она была первоначально обнаружена.
В новом отчете, опубликованном на этой неделе, исследователи из охранной фирмы Check Point Software Technologies задокументировали кампанию ToddyCat, которую они окрестили “Остаться в живых”, нацеленную на организации из азиатских стран, в первую очередь из телекоммуникационного и государственного секторов.
“Кампания Stayin ‘Alive состоит в основном из загрузчиков, некоторые из которых используются в качестве начального переносчика инфекции против известных азиатских организаций”, – сообщили исследователи Check Point. “Первый обнаруженный загрузчик под названием CurKeep был нацелен на Вьетнам, Узбекистан и Казахстан. Проведя наш анализ, мы поняли, что эта кампания является частью гораздо более широкой кампании, нацеленной на регион ”.
В недавнем отчете опубликованном на этой неделе, исследователи из “Лаборатории Касперского” также задокументировали новое поколение загрузчиков вредоносных программ, используемых ToddyCat в недавних атаках, включая некоторые, которые, похоже, адаптированы для каждой жертвы. Исследователи Касперского первоначально раскрыли деятельность ToddyCat в конце 2020 года после того, как группа нацелилась на высокопоставленные азиатские и европейские организации.
Сторонняя загрузка DLL – излюбленный метод ToddyCat
Один из любимых методов ToddyCat по внедрению вредоносных программ на компьютеры – это технология, называемая боковой загрузкой DLL. Это включает в себя поиск законного исполняемого файла из приложения, которое выполняет поиск определенного DLL-файла в том же каталоге, а затем замену этой DLL вредоносной.
Поскольку первоначально запущенный файл принадлежит законному приложению или службе, он, вероятно, будет иметь цифровую подпись и внесен в белый список в некоторых продуктах безопасности. Злоумышленники надеются, что последующая загрузка вредоносной библиотеки DLL законным исполняемым файлом не будет обнаружена или заблокирована.
В прошлом ToddyCat использовал уязвимости в общедоступных серверах Microsoft Exchange, но также распространял вредоносное ПО через фишинговые электронные письма, к которым прикреплены вредоносные архивы. Эти архивы содержат законные исполняемые файлы вместе с вредоносной библиотекой DLL, загруженной сбоку.
По данным Check Point, одно из приложений, использованных в недавних атаках, называется Dante Discovery и создано компанией Audinate. В ходе фишинг-атаки против вьетнамской телекоммуникационной компании злоумышленники отправили архив с исполняемым файлом Dante Discovery под названием to mDNSResponder.exe вместе со вредоносной библиотекой DLL, загруженной с боковой страницы, под названием dal_keepalives.библиотека dll, которую ищет программное обеспечение.
Мошенник dal_keepalives.dll – это простой загрузчик вредоносных программ, который используется для настройки сохраняемости путем копирования списка файлов в папку Данных приложения и настройки запланированной задачи под названием AppleNotifyService для продолжения ее выполнения. Загрузчик вредоносного ПО используется для запуска простого бэкдора, который Check Point называет “CurKeep”.
“Основная логика полезной нагрузки [CurKeep] состоит из трех основных функциональных возможностей: отчета, оболочки и файла”, – сказали исследователи. “Каждой из них присваивается отдельный тип сообщения, которое отправляется на сервер C & C. При выполнении полезная нагрузка изначально запускает функцию отчета, отправляя основную разведывательную информацию на сервер C & C. Затем она создает два отдельных потока, которые повторно запускают функции оболочки и файла. ”
Функциональность оболочки используется злоумышленниками для удаленного выполнения команд оболочки на компьютере, а функция файла заключается в загрузке файлов на диск, которые затем будут выполнены.
Между тем, исследователи Касперского сообщили, что видели похожие боковой загрузкой тактика воспользовавшись vlc.exe популярный с открытым исходным кодом видео плеер, разбойника, сопровождающих файл с названием плейлиста.дат, вредоносные загрузки в виде файлов DLL, которые загружаются непосредственно с утилитой rundll32.exe окна.
Загрузчики, замеченные Касперским, использовались для загрузки троянской программы Ninja, которую ToddyCat использует с 2020 года и которую исследователи описывают как “сложное вредоносное ПО, написанное на C ++, вероятно, являющееся частью неизвестного инструментария для последующей эксплуатации”. Троянская программа может перечислять и уничтожать запущенные процессы, управлять системными файлами, открывать обратные сеансы командной оболочки, внедрять код в произвольные процессы, загружать дополнительные модули для расширения функциональности и настраивать прокси для связи с командно-контрольным сервером.
Обнаруженные Kaspersky загрузчики вредоносных программ отличались друг от друга и использовали разные постоянные методы, связанные с разделами реестра и настройкой системных служб. На самом деле, некоторые варианты этих загрузчиков, похоже, были специально разработаны для жертв, использующих GUID компьютера в качестве ключа шифрования для своих последующих полезных загрузок.
Исследуя инфраструктуру ToddyCat, Check Point также обнаружила дополнительные загрузчики. Один из них они назвали “CurLu Loader” и он развернут с использованием загруженной библиотеки DLL под названием bdch.dll. Этот загрузчик использовался для развертывания полезной нагрузки, маскирующейся под файл изображения, который, в свою очередь, использовал дополнительную загрузку DLL с помощью mscoree.dll для развертывания другого бэкдора, получившего название “CurCore”.
Check Point также обнаружила два других загрузчика, получивших названия “StylerServ” и “CurLog”, каждый из которых использует разные методы развертывания. CurLog распространялся с приманками как в виде исполняемого файла, так и в виде дополнительной библиотеки DLL, в то время как StylerServ, по-видимому, является дополнительным загрузчиком, который работает как пассивный слушатель и развертывается более старой версией CurLu.
В целом, ToddyCat, похоже, использует различные пользовательские загрузчики вредоносных программ и бэкдоры, распространяемые несколькими способами, но часто через стороннюю загрузку DLL.
Дополнительные вредоносные инструменты ToddyCat
Исследователи Kaspersky также задокументировали другие инструменты, которые группа использовала в своих операциях в дополнение к загрузчикам, бэкдорам и троянцу Ninja. Одна из них называется “LoFiSe” и представляет собой инструмент, используемый для поиска и сбора интересующих файлов из зараженных систем.
“Название LoFiSe происходит от имени мьютекса, используемого этим инструментом (MicrosoftLocalFileService)”, – сказали исследователи. “Сам инструмент представляет собой DLL-файл с именем DsNcDiag.dll, который запускается с использованием технологии боковой загрузки DLL”.
Другие инструменты включают загрузчики для DropBox и Microsoft OneDrive, которые используются для удаления файлов, пассивный UDP-бэкдор, который получает команды через UDP-пакеты, и Cobalt Strike, коммерческую платформу для тестирования на проникновение, которая стала популярной у многих хакеров.
“Последние открытия подтверждают, что ToddyCat атакует свою цель с целью осуществления шпионской деятельности”, – заявили исследователи. “Для достижения этой цели злоумышленник проникает в корпоративные сети, используя такие инструменты, как загрузчики и троянские программы, описанные выше. Закрепившись, она начинает собирать информацию о хостах, подключенных к той же сети, чтобы найти цели, у которых могут быть представляющие интерес файлы. Группа проводит поисковые операции, перечисляя учетные записи доменов и серверы DC, используя стандартные утилиты администрирования операционной системы. ”
После выявления дополнительных систем злоумышленники используют украденные учетные данные администратора домена для подключения сетевых дисков, выполнения скриптов и настройки запланированных задач в целевых системах с целью поиска и эксфильтрации документов.