Deutschland
 

Neue Kaspersky-Analyse

APT-Bande ToddyCat greift Regierungs- und Militärziele in Europa und Asien an

Sicherheitsforscher haben eine bisher nicht dokumentierte APT-Gruppe (Advanced Persistent Threat) aufgedeckt. Die Angriffe der Bande zielen auf hochrangige Organisationen in Asien und Europa.
Von 
CSO | 23. Juni 2022 14:28 Uhr
Der Palm Civet, auch als Toddy Cat bezeichnet, hat Kuschelfaktor. Die nach ihm benannte APT-Hackergruppe ist aber alles andere als harmlos.
Der Palm Civet, auch als Toddy Cat bezeichnet, hat Kuschelfaktor. Die nach ihm benannte APT-Hackergruppe ist aber alles andere als harmlos.
Foto: teekayu - shutterstock.com

Die APT-Gruppe namens ToddyCat soll seit mehr als einem Jahr für Angriffe auf Microsoft-Exchange-Server in ganz Asien und Europa verantwortlich sein. Laut einem aktuellen Forschungsbericht des Security-Anbieters Kaspersky startete die Gruppe im Dezember 2020 und kompromittierte zunächst ausgewählte Exchange-Server in Taiwan und Vietnam. Im Rahmen ihrer Untersuchung entdeckten die Forscher eine zuvor unbekannte passive Backdoor namens "Samurai" und eine neue Trojaner-Malware namens "Ninja Trojan".

Die Samurai-Hintertür sei in der Lage, C#-Code auszuführen und verfüge über eine modulare Architektur, die es Nutzern erlaubt, das Zielsystem vollständig zu steuern, heißt es in der Analyse. Die Malware ermögliche zudem auch Lateral Movement und das Laden anderer bösartiger Payloads, sowie den Ninja-Trojaner.

Laut Kaspersky ist Ninja ein kollaboratives Tool, das den Anwendern ermöglicht, gleichzeitig am selben Rechner zu arbeiten. Zudem stünden Angreifern damit zahlreiche Befehle zur Verfügung, um die infizierten Systeme fernzusteuern, die Entdeckung zu vermeiden und unterschiedliche böswillige Aktivitäten durchzuführen.

So geht die ToddyCat-Gruppe vor

Für die ersten Angriffe hätten die ToddyCat-Hacker einen unbekannten Exploit genutzt, um die Web-Shell China Chopper auf den Zielsystemen einzurichten. Dabei handelt es sich um einen bösartigen Code, der häufig von mit China verbundenen Bedrohungsakteuren verwendet wird. Wie die Forscher erklären, habe die APT-Gruppe die Web-Shell genutzt, um eine mehrstufige Angriffskette mit der Samurai-Backdoor und dem Ninja-Trojaner zu starten. Es ist unklar, welche Schwachstelle die Gruppe dabei ausgenutzt hat, da kein Muster des Exploits gefunden wurde.

Die Forscher stellten jedoch fest, dass die Angreifer ab Februar 2021 die ProxyLogon-Schwachstelle missbraucht haben, um Organisationen in Europa und Asien zu attackieren. Diese Sicherheitslücke ermöglicht den Hackern die Remote-Code-Ausführung auf Exchange-Server. Microsoft hat diese Lücke jedoch im März 2021 geschlossen, nachdem die Angriffe entdeckt worden waren. Obwohl die Bande laut der Kaspersky-Analyse bis Februar 2021 nicht sehr aktiv war, eskalierte sie ihre Angriffe schnell, nachdem sie begonnen hatte, nach nicht gepatchten Microsoft-Exchange-Servern in ganz Europa und Asien zu suchen.

Hochrangige Organisationen im Fadenkreuz

Der Analyse zufolge haben es die Hacker vor allem auf hochrangige Organisationen, darunter staatliche und militärische Einrichtungen sowie militärische Auftragnehmer,abgesehen. "ToddyCat ist eine professionelle APT-Gruppe, die ausgeklügelte Techniken einsetzt, um eine Entdeckung zu vermeiden, und sich dadurch unauffällig verhält", fassen die Kaspersky-Forscher zusammen. Denn sie konnten die Angriffe keiner anderen bekannten Gruppe zuordnen. "Wir haben immer noch wenig Informationen über diesen Akteur, aber wir wissen, dass er sich durch den Einsatz der beiden zuvor unbekannten Tools Samurai-Backdoor und Ninja-Trojaner von anderen unterscheidet."

Lesetipp: Politisch Motivierte Cyberangriffe - Die vier gefährlichsten Akteure im Netz

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.
Folgen: