Ein APT-Akteur (Advanced Persistent Threat) mit dem Codenamen ToddyCat wird seit mindestens Dezember 2020 mit einer Reihe von Angriffen auf Regierungs- und Militäreinrichtungen in Europa und Asien in Verbindung gebracht.
Das relativ neue Angreiferkollektiv soll zunächst Microsoft Exchange Server in Taiwan und Vietnam angegriffen haben, indem es einen unbekannten Exploit nutzte, um die China Chopper Web Shell einzusetzen und eine mehrstufige Infektionskette zu aktivieren.
Weitere prominente Länder sind Afghanistan, Indien, Indonesien, Iran, Kirgisistan, Malaysia, Pakistan, Russland, die Slowakei, Thailand, das Vereinigte Königreich und Usbekistan, wobei die rasche Eskalation der Angriffe durch die Verbesserung der Werkzeuge im Laufe mehrerer Kampagnen gekennzeichnet ist.
„Die erste Angriffswelle richtete sich ausschließlich gegen Microsoft Exchange Server, die mit Samurai, einer ausgeklügelten passiven Backdoor, die normalerweise auf den Ports 80 und 443 arbeitet, kompromittiert wurden“, so das russische Cybersicherheitsunternehmen Kaspersky in einem heute veröffentlichten Bericht.
„Die Malware ermöglicht die Ausführung von beliebigem C#-Code und wird mit mehreren Modulen verwendet, die es dem Angreifer ermöglichen, das entfernte System zu verwalten und sich seitlich im Zielnetzwerk zu bewegen.
ToddyCat, der von der slowakischen Cybersecurity-Firma ESET auch unter dem Namen Websiic verfolgt wird, wurde erstmals im März 2021 bekannt, als er die Schwachstellen von ProxyLogon Exchange ausnutzte, um E-Mail-Server von Privatunternehmen in Asien und einer Regierungsbehörde in Europa anzugreifen.
Die Angriffssequenz nach dem Einsatz der China Chopper Web-Shell führt zur Ausführung eines Droppers, der wiederum dazu verwendet wird, Änderungen an der Windows-Registrierung vorzunehmen, um einen Loader der zweiten Stufe zu starten, der seinerseits dazu dient, einen .NET-Loader der dritten Stufe auszulösen, der für die Ausführung von Samurai verantwortlich ist.
Die Hintertür nutzt nicht nur Techniken wie Verschleierung und Abflachung des Kontrollflusses, um sie resistent gegen Reverse Engineering zu machen, sondern ist auch modular aufgebaut, da die einzelnen Komponenten es ermöglichen, beliebige Befehle auszuführen und Dateien von dem kompromittierten Rechner zu exfiltrieren.
Bei bestimmten Vorfällen wurde auch ein ausgeklügeltes Tool namens Ninja beobachtet, das vom Samurai-Implantat erzeugt wird und wahrscheinlich als kollaboratives Tool fungiert, das es mehreren Operatoren ermöglicht, gleichzeitig an demselben Rechner zu arbeiten.
Trotz seiner Ähnlichkeit mit anderen Post-Exploitation-Toolkits wie Cobalt Strike ermöglicht es die Malware dem Angreifer, „entfernte Systeme zu kontrollieren, die Entdeckung zu vermeiden und tief in ein Zielnetzwerk einzudringen“.
Obwohl die Opfer von ToddyCat aus Ländern und Sektoren stammen, die traditionell von chinesischsprachigen Gruppen angegriffen werden, gibt es keine Beweise, die den Modus Operandi mit einem bekannten Bedrohungsakteur in Verbindung bringen.
„ToddyCat ist eine ausgeklügelte APT-Gruppe, die mehrere Techniken einsetzt, um nicht entdeckt zu werden, und sich dadurch unauffällig verhält“, sagte der Kaspersky-Sicherheitsforscher Giampaolo Dedola.
„Die betroffenen Organisationen, sowohl staatliche als auch militärische, zeigen, dass diese Gruppe auf sehr hochrangige Ziele fokussiert ist und wahrscheinlich benutzt wird, um kritische Ziele zu erreichen, die wahrscheinlich mit geopolitischen Interessen zusammenhängen.“