Servere Microsoft Exchange atacate de gruparea APT ToddyCat

Un grup de amenințări persistente avansate (APT) denumit ToddyCat vizează serverele Microsoft Exchange din Asia și Europa de mai bine de un an, cel puțin din decembrie 2020.

Specialiștii în securitate din cadrul companiei Global Research & Analysis Team (GReAT) de la Kaspersky au descoperit, de asemenea, un backdoor pasiv necunoscut anterior pe care l-au numit Samurai și un nou malware de tip troian denumit Ninja Trojan.

Ambele tipuri de malware permit persoanelor rău intenționate să preia controlul sistemelor infectate și să se extindă în rețelele victimelor.

Atacurile grupului ToddyCat au fost detectate în trecut și de firma de securitate cibernetică ESET.

Grupul de hackeri a exploatat defectele ProxyLogon Exchange, care le-au permis să obțină executarea de cod malițios de la distanță pe servere vulnerabile pentru a implementa shell-uri web China Chopper.

Deși nu au fost foarte activi până în februarie 2021, aceștia și-au intensificat rapid atacurile după ce au început să folosească exploit-uri ProxyLogon pe serverele Microsoft Exchange neprotejate din Europa și Asia.

Giampaolo Dedola, cercetător în domeniul securității la Kaspersky  a declarat că acest grup a început să exploateze vulnerabilitatea Microsoft Exchange în decembrie 2020. „Toate mașinile infectate între decembrie și februarie, au fost servere Microsoft Windows Exchange; atacatorii au compromis serverele cu un exploit necunoscut, restul lanțului de atac fiind același cu cel folosit în martie.”

Țintele grupului sunt organizațiile guvernamentale și militare, precum și contractori militari.

Sursa: https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-by-new-toddycat-apt-gang/