Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ToddyCat : un acteur APT cible d’importantes entités avec un nouveau malware

juillet 2022 par Kaspersky

Les chercheurs de Kaspersky ont livré un rapport sur une campagne en cours, menée par un groupe APT appelé ToddyCat cherchant à compromettre plusieurs serveurs Microsoft Exchange en utilisant deux programmes malveillants : la porte dérobée Samurai et le cheval de Troie Ninja. La campagne a ciblé en priorité les secteurs gouvernementaux et militaires en Europe et en Asie.

ToddyCat est un groupe APT sophistiqué et relativement récent, dont les activités ont été détectées pour la première fois par les chercheurs Kaspersky en décembre 2020 alors qu’il menait un certain nombre d’attaques sur des serveurs Microsoft Exchange. En février-mars 2021, Kaspersky observa une escalade rapide lorsque ToddyCat commença à exploiter la vulnérabilité ProxyLogon sur les serveurs Microsoft Exchange pour nuire à un grand nombre d’organisations à travers l’Europe et l’Asie. En septembre 2021, le groupe commença à détourner son attention vers les postes de travail liés aux entités gouvernementales et diplomatiques en Asie. Le groupe met constamment à jour son arsenal et continue de mener des attaques en 2022.

Si le vecteur d’infection initial des dernières activités n’est pas clairement identifié, les chercheurs ont mené une analyse approfondie du malware utilisé lors des campagnes. ToddyCat emploie la porte dérobée Samurai et le cheval de Troie Ninja, deux outils de cyber-espionnage sophistiqués conçus pour s’infiltrer profondément dans les réseaux ciblés tout en restant furtifs.

Samurai est une porte dérobée modulaire, un composant final de l’attaque qui permet à l’attaquant d’administrer le système distant et de se déplacer latéralement dans le réseau compromis. Ce logiciel malveillant se distingue par l’utilisation de plusieurs flux de contrôle et de déclarations de cas pour passer d’une instruction à l’autre, ce qui rend difficile le suivi de l’ordre des actions dans le code. De plus, il est utilisé pour lancer un autre nouveau malware baptisé « cheval de Troie Ninja », un outil collaboratif complexe qui permet à plusieurs opérateurs de travailler simultanément sur la même machine.

Le cheval de Troie Ninja fournit également un vaste ensemble de commandes, qui permet aux attaquants de contrôler des systèmes distants tout en évitant la détection. Il est en général chargé dans la mémoire d’un outil et lancé par divers chargeurs. Le cheval de Troie Ninja commence l’opération en récupérant les paramètres de configuration de la charge utile chiffrée, puis s’infiltre profondément dans un réseau compromis. Les capacités du malware comprennent la gestion des systèmes de fichiers, le lancement de reverse shells, le transfert de paquets TCP et même la prise de contrôle du réseau dans des délais spécifiques, qui peuvent être configurés de façon dynamique à l’aide d’une commande spécifique.

Le logiciel malveillant ressemble également à d’autres cadres de post-exploitation bien connus, tels que CobaltStrike, les caractéristiques de Ninja lui permettant de limiter le nombre de connexions directes entre le réseau ciblé et les systèmes de commande et de contrôle distant sans accès à Internet. En outre, il peut contrôler les indicateurs HTTP et camoufler le trafic malveillant dans les requêtes HTTP pour les faire paraître légitimes en modifiant l’en-tête HTTP et les chemins URL. Ces capacités rendent le cheval de Troie Ninja particulièrement discret.

« ToddyCat est un acteur malveillant sophistiqué, doté de compétences techniques élevées, capable de se rendre indétectable et de se frayer un chemin jusqu’aux organisations de haut niveau. Malgré le nombre de chargeurs et d’attaques découverts l’année dernière, nous n’avons toujours pas de visibilité totale sur leurs opérations et leurs tactiques. Une autre particularité de ToddyCat est l’accent mis sur les capacités avancées des logiciels malveillants. Le cheval de Troie Ninja porte bien son nom : il est difficile à détecter et, par conséquent, à arrêter. Face à ce type de menace, la meilleure marche à suivre est d’utiliser des défenses multicouches, qui fournissent des renseignements sur les actifs internes, et sont continuellement mises à jour avec les dernières informations sur les menaces, » commente Giampaolo Dedola, expert en sécurité chez Kaspersky.

Pour en savoir plus sur ToddyCat, ses techniques, et comment protéger votre réseau des différentes attaques, rendez-vous sur Securelist pour lire le rapport complet.

Pour éviter d’être victimes d’attaques ciblées par des acteurs malveillants connus ou inconnus, les chercheurs de Kaspersky recommandent les mesures suivantes :

Maintenez votre équipe SOC informée des derniers renseignements sur les menaces (TI). Le Threat Intelligence Portal de Kaspersky est un point unique d’information sur les menaces, qui fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis près de 25 ans. L’accès à ses fonctionnalités est gratuit et permet aux utilisateurs de vérifier les fichiers, les URL et les adresses IP. Le portail est disponible ici

Améliorez les compétences de votre équipe de cybersécurité en les préparant à contrer les dernières menaces ciblées grâce à Kaspersky online training, développé par les chercheurs du GReAT.

Pour la détection au niveau des postes de travail, l’investigation et la remédiation des incidents à temps, implémentez des solutions EDR telles que Kaspersky Endpoint Detection and Response

Outre l’adoption d’une protection essentielle des terminaux, mettez en œuvre une solution de sécurité de niveau entreprise qui détecte les menaces avancées au niveau du réseau à un stade précoce, comme Kaspersky Anti Targeted Attack Platform.

De nombreuses attaques ciblées commencent par du phishing ou d’autres techniques d’ingénierie sociale. Il est donc utile d’introduire une formation de sensibilisation à la sécurité et d’enseigner des compétences pratiques à votre équipe. Par exemple, par le biais de Kaspersky Automated Security Awareness Plateform.




Voir les articles précédents

    

Voir les articles suivants