Microsoft Exchange Sunucuları ToddyCat APT Group Tarafından Arka Kapı Enjekte Etmek İçin Saldırıya Uğradı

Bir yıldan uzun bir süre önce, Microsoft Exchange sunucularını hedefleyen bir APT grubu olan ToddyCat, Asya ve Avrupa'daki Microsoft Exchange sunucularına yönelik bir saldırı başlattı.

Kaspersky'nin GReAT'ındaki güvenlik araştırmacıları grubun faaliyetlerini izliyordu ve o sırada iki kötü amaçlı yazılım keşfettiler. Bunlar arasında, biri daha önce bilinmeyen bir arka kapı, diğeri ise yeni bir truva atı. Ve aşağıda keşfettikleri şeylerin listesi var:

• Samurai (Bir önceki)
• Ninja (Yenisi)

Saldırganlar, her iki kötü amaçlı yazılım suşunun kontrolünü ele geçirebilir ve her iki kötü amaçlı yazılım türünü kullanarak kurbanların ağlarında yanal olarak hareket edebilir.

Slovak bir siber güvenlik firması olan ESET, ToddyCat'in geçmişte bilgisayarlara girme girişimlerini de tespit etti. 2021 yılının Mart ayı boyunca ESET, Websiic olarak adlandırılan bir grubun parçası olarak bu tehditleri izlemeye başladı.

Saldırı sırasında, bilgisayar korsanları ProxyLogon Exchange'deki güvenlik açıklarından yararlandı. Bu istismarın bir sonucu olarak, China Chopper kabuk kodunu savunmasız sunuculara dağıtabildiler ve RCE kazanabildiler.

Saldırı Dalgaları Ve Hedefleri

Hükümetler ve askeri kuruluşlar gibi yüksek profilli kuruluşlara veya bu kuruluşlarla çalışan yüklenicilere ek olarak, grubun hedefi zaman zaman değişir.

Başlangıçta aşağıdaki ülkelerden az sayıda devlet kuruluşu hedef alındı ve bu, Aralık 2020 ile Şubat 2021 arasında gerçekleşen ilk saldırı dalgası olarak biliniyor:

• Vietnam
• Tayvan

Küresel olarak uzun bir ülke listesine ek olarak, Şubat 2021 ile Mayıs 2021 arasında gerçekleşen bir sonraki dalga, aşağıdakiler de dahil olmak üzere çok çeşitli ülkelerden kuruluşları içerecek şekilde hızla büyüdü:

• Rusya
• Hindistan
• İran
• Birleşik Krallık

ToddyCat'in genişlemesinin bir sonraki aşaması aynı ülkeler kümesine odaklanacak. Ek olarak, aşağıdaki ülkelerden daha fazla kuruluş da ekledi:

• Endonezya
• Özbekistan
• Kırgızistan

Çince Konuşan APT'lerle Etkinlik Bağlantıları

Çince konuşan birkaç grup da ToddyCat'in yaptığı gibi aynı endüstrileri ve ülkeleri hedef aldı.

Çin destekli bilgisayar korsanları, aynı anda ihlal ettikleri bazı varlıklara saldırmak için FunnyDream arka kapısını kullandılar. Bu grup, çabalarını, hem hükümet hem de askeri olarak etkilenen kuruluşlar tarafından belirtildiği gibi, çok yüksek profilli hedeflere yoğunlaştırıyor.

ToddyCat APT, gizliliğini korumak ve uzun süre algılanmasını önlemek için çok çeşitli teknikler kullanır. Güneydoğu Asya'daki hedefler grup için birincil endişe kaynağıdır. Bununla birlikte, faaliyetleri Avrupa ve Asya bölgesindeki hedefleri de etkilemektedir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.