Questa volta si tratta di una nuova minaccia persistente avanzata (APT) ancora poco conosciuta, soprannominata ToddyCat. 

Ha iniziato a muovere i suoi primi passi a fine 2020 contro limitati obiettivi tra Taiwan ed il Vietam, con uno schema di attacco complesso ma orientato esclusivamente ai server Microsoft Exchange. 

Nella prima campagna ha adottato una sofisticata backdoor passiva (su porte 80 e 443) introdotta mediante un malware già noto ai ricercatori e denominato Samurai: questo era infatti parte di altra catena di attacco vista in precedenza. In questa campagna però Samurai è stato inteso solo come apripista per l’infezione di un secondo malware denominato Ninja, molto più dannoso.  

In una seconda campagna, molto più intensa, l’attore di minaccia, tra febbraio e maggio 2021, ha invece cominciato ad abusare di un’altra vulnerabilità, ProxyLogon, questa volta prendendo di mira differenti paesi in Asia (Iran, India, Malesia) ed Europa (Slovacchia, Russia e Regno Unito). Successivamente gli attacchi hanno coinvolto anche organizzazioni militari e governative in Indonesia, Uzbekistan e Kirghizistan, estendendo inoltre la superficie di attacco anche a postazioni desktop. 

Il livello avanzato e la complessità dell’attacco si evidenziano nella catena di azioni e nel livello sofisticato dell’offuscamento del software. 

Il malware Samurai è infatti molto difficile da rilevare anche attraverso il reverse engineering, in quanto, oltre ad utilizzare tecniche di offuscamento, usa costrutti “switch case” per selezionare le istruzioni da eseguire rendendo così il flusso di controllo piatto. 

Il malware Ninja ha invece tratti di somiglianza con il tookit post-exploitation Cobalt-Strike, e, come questo, ha capacità e funzionalità evolute: è in grado infatti di controllare i sistemi da remoto, contrastare il rilevamento e muoversi nella rete attaccata. 

Un tratto particolare contraddistingue però questa nuova minaccia: un’altra backdoor per Exchange denominata FunnyDream, è stata vista aggredire le medesime vittime di ToddyCat in una sorta di sovrapposizione delle minacce, Questa ulteriore minaccia appare collegata a gruppi di minaccia in lingua cinese. 

Questo fenomeno è stato osservato in tre differenti paesi e alcune caratteristiche delle tecniche rendono molto vicine le due minacce, ma è presto per determinare se si tratti di una ulteriore catena nell’attacco orchestrato da un medesimo gruppo di minaccia o se siamo in presenza effettivamente di due gruppi distinti. 

Al momento è ritenuto più probabile il secondo caso, semplicemente per la coincidenza indotta da un comune interesse per vittime di altissimo profilo e per finalità legate ad interessi geopolitici.

Tweet