Aktor ancaman persisten tingkat lanjut (APT) dengan nama sandi ToddyCat telah dikaitkan dengan serangkaian serangan yang ditujukan pada entitas terkenal di Eropa dan Asia setidaknya sejak Desember 2020.
Kolektif musuh yang relatif baru dikatakan telah memulai operasinya dengan menargetkan server Microsoft Exchange di Taiwan dan Vietnam menggunakan eksploitasi yang tidak diketahui untuk menyebarkan shell web China Chopper dan mengaktifkan rantai infeksi multi-tahap.
Negara-negara terkemuka lainnya yang menjadi target termasuk Afghanistan, India, Indonesia, Iran, Kirgistan, Malaysia, Pakistan, Rusia, Slovakia, Thailand, Inggris, dan Uzbekistan, sama seperti aktor ancaman yang mengembangkan perangkatnya selama kampanye yang berbeda.
“Gelombang pertama serangan secara eksklusif menargetkan Microsoft Exchange Server, yang dikompromikan dengan Samurai, pintu belakang pasif canggih yang biasanya bekerja pada port 80 dan 443,” kata perusahaan keamanan siber Rusia Kaspersky dalam sebuah laporan yang diterbitkan hari ini.
Malware ini memungkinkan eksekusi kode C# sewenang-wenang dan digunakan dengan beberapa modul yang memungkinkan penyerang untuk mengatur sistem jarak jauh dan bergerak secara lateral di dalam jaringan yang ditargetkan.
ToddyCat, juga dilacak di bawah moniker Websiic oleh perusahaan keamanan siber Slovakia ESET, pertama kali terungkap pada Maret 2021 karena eksploitasi kelemahan ProxyLogon Exchange untuk menargetkan server email milik perusahaan swasta di Asia dan badan pemerintah di Eropa.
Urutan serangan pasca penyebaran web shell China Chopper mengarah pada eksekusi dropper yang, pada gilirannya, digunakan untuk membuat modifikasi Windows Registry untuk meluncurkan loader tahap kedua, yang, pada bagiannya, dirancang untuk memicu .NET loader tahap ketiga yang bertanggung jawab untuk menjalankan Samurai.
Pintu belakang, selain menggunakan teknik seperti pengaburan dan perataan aliran kontrol untuk membuatnya tahan terhadap rekayasa balik, bersifat modular karena komponennya memungkinkan untuk mengeksekusi perintah arbitrer dan mengekstrak file yang diinginkan dari host yang disusupi.
Juga diamati dalam insiden tertentu adalah alat canggih bernama Ninja yang dihasilkan oleh implan Samurai dan kemungkinan berfungsi sebagai alat kolaboratif yang memungkinkan banyak operator bekerja pada mesin yang sama secara bersamaan.
Kesamaan fiturnya dengan toolkit pasca-eksploitasi lainnya seperti Cobalt Strike meskipun, malware memungkinkan penyerang untuk “mengendalikan sistem jarak jauh, menghindari deteksi, dan menembus jauh ke dalam jaringan yang ditargetkan.”
Terlepas dari kenyataan bahwa korban ToddyCat terkait dengan negara dan sektor yang secara tradisional ditargetkan oleh kelompok berbahasa Cina, tidak ada bukti yang mengaitkan modus operandi dengan aktor ancaman yang diketahui.
“ToddyCat adalah grup APT canggih yang menggunakan berbagai teknik untuk menghindari deteksi dan dengan demikian tetap tidak menonjolkan diri,” kata peneliti keamanan Kaspersky Giampaolo Dedola.
“Organisasi yang terkena dampak, baik pemerintah maupun militer, menunjukkan bahwa kelompok ini berfokus pada target yang sangat terkenal dan mungkin digunakan untuk mencapai tujuan penting, kemungkinan terkait dengan kepentingan geopolitik.”