针对MS Exchange服务器的新ToddyCat黑客组织受到专家的关注

ToddyCat公司公司 与至少自2020年12月以来针对欧洲和亚洲知名实体的一系列袭击有关。

其他主要目标国家包括阿富汗、印度、印度尼西亚、伊朗、吉尔吉斯斯坦、马来西亚、巴基斯坦、俄罗斯、斯洛伐克、泰国、英国和乌兹别克斯坦，正如威胁行为体在不同战役过程中发展其工具集一样。

俄罗斯网络安全公司卡巴斯基（Kaspersky）在今天发布的一份报告中表示：“第一波攻击专门针对Microsoft Exchange服务器，这些服务器受到了武士（Samurai）的攻击，武士是一种复杂的被动后门，通常在端口80和443上工作。”。

“该恶意软件允许任意C#代码执行，并与多个模块一起使用，使攻击者能够管理远程系统并在目标网络内横向移动。”

2021 3月，斯洛伐克网络安全公司ESET首次发现ToddyCat利用ProxyLogon Exchange漏洞攻击亚洲私营公司和欧洲政府机构的电子邮件服务器，并将其命名为WebIIC。

部署China Chopper web shell后的攻击序列导致执行滴管，滴管用于修改Windows注册表以启动第二阶段加载程序，而第二阶段加载程序则用于触发第三阶段。负责运行武士的网络加载器。

后门除了使用模糊处理和控制流展平等技术以抵抗逆向工程外，还具有模块化功能，因为组件可以执行任意命令并从受损主机中过滤出感兴趣的文件。

在特定事件中还观察到一种名为Ninja的复杂工具，它是武士植入物产生的，可能作为一种协作工具，允许多个操作员同时在同一台机器上工作。

尽管该恶意软件的功能与其他攻击后工具包（如Cobalt Strike）相似，但它使攻击者能够“控制远程系统，避免检测，并深入目标网络。”

尽管ToddyCat受害者与传统上以华语为目标的国家和部门有关联，但没有证据表明其作案手法与已知的威胁行为者有关。

卡巴斯基安全研究员詹保罗·德多拉（GiampaoloDedola）说：“ToddyCat是一个复杂的APT组织，它使用多种技术来避免被发现，从而保持低调。”。

“受影响的政府和军方组织表明，该组织专注于非常引人注目的目标，可能用于实现关键目标，可能与地缘政治利益有关。”