サイバーニュース.jp

世界のサイバーなニュースを配信

ToddyCatマルウェア、ProxyLogonを悪用しMicrosoft Exchangeサーバーを侵害

カテゴリ:

はじめに

「ToddyCat」として知られる高度なサイバー・スパイ脅威グループ(別名 Websiic、Storm-0247)は、欧州およびアジアの組織にとって重大なリスクとして浮上しています。このグループの活動は、2020年12月に台湾とベトナムのMicrosoft Exchangeサーバーを標的とすることから始まり、その後、高度な回避技術と特殊なマルウェアツールを活用した複雑な多段階キャンペーンへと進化しました。

ToddyCatの活動の進化

ToddyCatの攻撃は、2020年12月にMicrosoft Exchangeサーバーを標的としたもので、未確認の脆弱性を悪用して「China Chopper」Webシェルを配備し、「Samurai」と名付けられた受動的なバックドアをインストールしました。これにより、侵害されたシステムへの永続的なアクセスを維持していました。

脅威の状況は、2021年2月に劇的に変化しました。ToddyCatは、認証されていないリモートコード実行を可能にするMicrosoft Exchange Serverの重大な脆弱性である、広く知られたProxyLogon脆弱性(CVE-2021-31207)の悪用に転じました。これは欧州およびアジアの高プロファイル組織に対する攻撃を急速にエスカレートさせる主要な経路となりました。初期の感染経路を変更したにもかかわらず、ToddyCatはその後も一貫した攻撃チェーンを維持しており、ポストエクスプロイト活動における標準化された方法論を示唆しています。

2021年9月までに、ToddyCatの活動範囲はサーバーインフラから中央アジアのデスクトップシステムへと拡大しました。この段階では、Telegramを介して「Ninja Trojan」のローダーを配布し、ソーシャルエンジニアリングと代替通信チャネルを利用して従来のネットワーク防御を回避していました。

2024年に記録された最近の活動は、グループの継続的な進化を明らかにしています。2024年初頭には、侵害されたマシンの一時ディレクトリで「version.dll」という疑わしいファイルが検出され、これはESETコマンドラインスキャナーの脆弱性を悪用するように設計された高度なツール「TCESB」であることが判明しました。2024年5月から6月にかけては、ドメインコントローラーで「TomBerBil」ツールの新しいPowerShell亜種が実行されているのが発見され、SMB共有を介してChrome、Edge、Firefoxブラウザからの資格情報とCookieの収集が明示的に標的とされました。

攻撃手法と技術

ToddyCatの運用方法論は、卓越した技術的成熟度を示しています。このグループは、悪意のあるスクリプトを実行し、データ窃取やシステム偵察を自動化するために、PowerShellとWindows Command Shellを広範に利用しています。永続性は、スケジュールされたタスクとリバースSSHトンネルを通じて維持され、侵害された環境への長期アクセスを可能にします。

彼らの防御回避戦略は特に注目に値します。これには、DBUtilDrv2.sysのような脆弱なドライバーのインストールを通じて「Bring Your Own Vulnerable Driver」(BYOVD)技術を取り入れているほか、信頼されたプロセスのコンテキスト内で悪意のあるコードを実行するDLLサイドローディング攻撃も含まれます。

データ窃取とラテラルムーブメント

データ窃取はToddyCatのワークフローの重要な要素です。このグループは、Outlookオフラインストレージテーブル(OST)ファイルのファイルロックを回避するために特殊なツール「TCSectorCopy」を使用しています。これは、標準のWindows API制限を回避するために、ドライバーレベルでディスクデバイスを開く高度な手法です。盗まれたデータは、確立されたコマンド&コントロールチャネルを通じて送信される前に、WinRARまたは7-Zipユーティリティを使用して圧縮されます。

グループの資格情報窃取戦略には、プロセスメモリからのOAuthトークン抽出、ブラウザの資格情報収集、Windows資格情報マネージャーの悪用が含まれます。侵害されたネットワーク全体でのラテラルムーブメントは、管理共有へのSMBプロトコルアクセスを通じて容易になり、SSHクライアントなどのツールを転送し、複数のシステム間でユーザーディレクトリから資格情報を抽出することを可能にしています。

推奨される対策

ToddyCatに標的とされている組織は、以下の点に焦点を当てた包括的な検出制御を実装する必要があります。

  • 異常なPowerShell実行
  • スケジュールされたタスク作成パターン
  • リバースSSHトンネルの確立

SMB共有アクセス、Outlookファイル操作、ブラウザの資格情報リポジトリの強化された監視は、早期の脅威検出に不可欠です。このグループが示す洗練度を考慮すると、潜在的な侵害を封じ込めるためには、堅牢なインシデント対応手順とネットワークセグメンテーションが必要です。

元記事: https://gbhackers.com/toddycat-malware/

投稿をさらに読み込む