Los analistas de Kaspersky alertan de una campaña dirigida por ToddyCat, un grupo de amenazas persistentes avanzadas (APT). Su objetivo es comprometer múltiples servidores de Microsoft Exchange utilizando dos programas maliciosos: el backdoor Samurai y el troyano Ninja. La campaña se dirige principalmente a sectores gubernamentales y militares de Europa y Asia.
ToddyCat es un sofisticado grupo APT relativamente nuevo. Su actividad fue detectada por primera vez por los analistas de Kaspersky en diciembre de 2020, cuando llevó a cabo una serie de ataques a los servidores de Microsoft Exchange. Entre febrero y marzo de 2021, Kaspersky observó una rápida escalada cuando ToddyCat comenzó a aprovechar la vulnerabilidad ProxyLogon en los servidores de Microsoft Exchange para comprometer a múltiples organizaciones en Europa y Asia. A partir de septiembre de 2021, el grupo desvió su atención hacia las máquinas virtuales relacionadas con gobiernos y entidades diplomáticas en Asia. Actualmente, el grupo actualiza constantemente sus ataques y mantiene su actividad en 2022.
Aunque no está claro cuál es el vector inicial de infección de estos últimos ataques, los expertos han realizado un análisis exhaustivo del malware utilizado en las campañas. ToddyCat emplea el backdoor Samurai y el troyano Ninja, dos sofisticadas herramientas de ciberespionaje diseñadas para penetrar profundamente en las redes objetivo de manera sigilosa.
Samurai es un backdoor modular, por lo que se trata de un componente de la etapa final del ataque que permite al ciberdelincuente administrar el sistema remoto y moverse lateralmente dentro de la red comprometida. Este malware destaca por utilizar múltiples flujos de control, lo que dificulta el seguimiento del orden de las acciones en el código. Además, se utiliza para lanzar un nuevo malware apodado Ninja Trojan, una compleja herramienta de colaboración que permite que varios operadores trabajen en el mismo equipo simultáneamente.
El troyano Ninja también proporciona un amplio conjunto de comandos, lo que permite a los atacantes controlar sistemas remotos mientras evitan la detección. Normalmente, se carga en la memoria de un dispositivo y se lanza mediante varios cargadores. El troyano Ninja comienza la operación recuperando los parámetros de configuración de la carga útil cifrada y luego se infiltra profundamente en una red comprometida. Las capacidades de este malware incluyen la gestión de sistemas de archivos, el inicio de shells inversos, el reenvío de paquetes TCP e, incluso, la toma de control de la red en periodos de tiempo concretos, que pueden ser configurados dinámicamente mediante un comando específico.
El malware también se asemeja a otros conocidos frameworks de post-explotación, como CobaltStrike. Asimismo, Ninja puede limitar el número de conexiones directas desde la red objetivo a los sistemas remotos de comando y control sin acceso a Internet. Además, es capaz de camuflar el tráfico malicioso en las peticiones HTTP haciéndolas parecer legítimas mediante la modificación de las cabeceras HTTP y las rutas URL. Todas estas capacidades hacen que el troyano Ninja sea especialmente sigiloso.
«ToddyCat es un sofisticado actor de amenazas con elevadas habilidades técnicas, capaz de pasar desapercibido y abrirse paso en organizaciones de alto nivel. A pesar del número de ataques descubiertos durante el último año, todavía no tenemos un mapa completo de sus operaciones y tácticas. Otra característica destacable de ToddyCat es que se centra en las capacidades avanzadas del malware. De hecho, el troyano Ninja recibió su nombre por un motivo: es difícil de detectar y, por tanto, de detener. La mejor manera de enfrentarse a este tipo de amenazas es utilizar defensas multicapa, que proporcionen información sobre los activos internos y se mantengan al día con la última inteligencia frente a amenazas», explica Giampaolo Dedola, experto en seguridad de Kaspersky.
Para evitar estos ataques, los expertos de Kaspersky recomiendan:
- Proporcionar al equipo SOC acceso a la última inteligencia frente a amenazas (TI, por sus siglas en inglés). El Portal de Inteligencia Frente a Amenazas de Kaspersky es un punto de acceso único para la TI de la compañía, ya que proporciona datos de ciberataques recopilados por Kaspersky durante casi 25 años. El acceso a sus funciones es gratuito, permitiendo a los usuarios comprobar archivos, URLs y direcciones IP.
- Mejorar los equipos de ciberseguridad para que estén preparados de cara a las últimas amenazas dirigidas con la formación online de Kaspersky, desarrollada por los expertos de GReAT.
- Para la detección a nivel de endpoint, así como el análisis y la actuación frente a incidentes, es aconsejable implementar soluciones EDR como Kaspersky Endpoint Detection and Response.
- Además de adoptar la protección esencial de los endpoints, es importante contar con una solución de seguridad de nivel corporativo que detecte las amenazas avanzadas a nivel de red en etapas tempranas, como Kaspersky Anti Targeted Attack Platform.
- Muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social, por lo que vale la pena apostar por formación en materia de seguridad y enseñar habilidades prácticas al equipo. Por ejemplo, a través de la Kaspersky Automated Security Awareness Platform.