APT-группа ToddyCat бэкдорит Exchange-серверы в Европе и Азии

Татьяна Никитина 22 Июня 2022 - 10:09

Корпорации

Лаборатория Касперского

Таргетированные атаки

...

APT-группа ToddyCat бэкдорит Exchange-серверы в Европе и Азии

Хакерская группировка, которую в «Лаборатории Касперского» идентифицируют как ToddyCat, проводит целевые атаки с декабря 2020 года. Специалисты изучили используемые вредоносные инструменты и проследили цепочку заражения от эксплойта до установки бэкдора.

APT-группа ToddyCat (в ESET ее называют Websiic) появилась в поле зрения ИБ-сообщества в марте прошлого года. До сентября для входа в целевые сети хакеры использовали только уязвимости в Microsoft Exchange, получившие известность как ProxyLogon, а теперь атакуют также десктопные системы.

Эксплойт позволяет авторам атаки развернуть веб-шелл China Chopper и загрузить вредоносный дроппер. Заражение происходит в несколько этапов, с использованием промежуточных загрузчиков; в итоге в систему устанавливается модульный бэкдор, которого в Kaspersky нарекли Samurai.

Этот написанный на C# зловред, обычно работающий на портах 80 и 443, обеспечивает удаленный контроль над зараженной системой и позволяет выгружать файлы по выбору. Два выявленных прокси-модуля, способные перенаправлять TCP-пакеты на произвольный хост, используются, по всей видимости, для продвижения вширь по сети жертвы.

Чтобы защитить Samurai от реверс-инжиниринга, его создатели используют обфускацию и выравнивание потока управления. Сложная схема администрирования навела исследователей на мысль, что бэкдор — это работающий на стороне сервера компонент более солидного решения, имеющего и клиентскую часть, с интерфейсом для автоматической загрузки дополнительных модулей.

В отдельных случаях злоумышленники с помощью Samurai развертывают другой сложный инструмент, получивший кодовое имя Ninja. Написанный на C++ троян призван обеспечить полный контроль над удаленной системой и умеет по команде выполнять следующие задачи:

выявлять и контролировать запущенные процессы;
работать с файловой системой;
открывать групповой шелл-доступ с удаленных серверов;
внедрять код в произвольные процессы;
загружать дополнительные модули (плагины);
проксировать TCP-пакеты, которыми обмениваются C2-сервер и удаленный хост.

Эксперты полагают, что Ninja является частью какого-то тулкита постэксплуатации и используется как инструмент для совместной работы с зараженной машиной, позволяющий также расширить атаку до масштабов сети.

Основными мишенями ToddyCat являются правительственные учреждения и военные организации, в том числе субподрядчики. География целевых атак за полтора года заметно расширилась. Вначале она была ограничена Вьетнамом и Тайванем, после публикации ProxyLogon жертвы появились и в других азиатских странах, а также в России, Словакии и Великобритании. В период с мая 2021 года по февраль 2022-го гастрольный список APT-группы пополнили Индонезия, Киргизия и Узбекистан.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 13 Февраля 2026 - 14:14

Бэкдоры Трояны Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare атакует российские госструктуры новым бэкдором PhantomHeart

Хактивистская группировка Head Mare снова активизировалась. Аналитики Cyber Threat Intelligence «Лаборатории Касперского» в конце 2025 года зафиксировали новую волну целевых атак на российские госструктуры, строительные и промышленные компании. И судя по всему, инструментарий группы стал более продуманным и автоматизированным.

Главная находка — новый бэкдор PhantomHeart. Изначально он распространялся как DLL-библиотека, но позже злоумышленники переработали его в PowerShell-скрипт.

Это вписывается в стратегию Living-off-the-Land (LOTL), когда атакующие используют штатные инструменты Windows, чтобы не привлекать лишнего внимания. Чем меньше стороннего «зловреда» на диске, тем сложнее его обнаружить.

Вектор первоначального доступа остаётся прежним. Head Mare продолжает эксплуатировать уязвимость BDU:2025-10114 в TrueConf Server. В отдельных случаях используются и фишинговые рассылки. То есть проверенные способы проникновения сочетаются с обновлённой «начинкой» внутри сети.

PhantomHeart после запуска разворачивает SSH-туннель по команде с сервера управления. Это даёт операторам устойчивый удалённый доступ к системе. Параллельно бэкдор собирает базовую информацию: имя компьютера, домен, внешний IP и уникальный идентификатор.

Закрепление в системе тоже продумано: в одной из атак вредонос запускался через планировщик заданий под видом легитимного скрипта обновления в директории LiteManager — популярного инструмента удалённого администрирования. Фактически активность маскировалась под обычную работу ПО.

Кроме того, эксперты отмечают рост автоматизации. Head Mare добавила новые скрипты и утилиты для постэксплуатации. Они помогают автоматически закрепляться в системе, управлять привилегиями и организовывать сетевой доступ. Такой подход снижает «ручную» нагрузку на операторов и позволяет проводить больше атак с большей скоростью и повторяемостью.

Продукты «Лаборатории Касперского» детектируют используемые инструменты под различными вердиктами, включая HEUR:Trojan-Ransom.Win32., Backdoor.PowerShell.Agent.gen и Trojan.PowerShell.Agent..

Подробный технический разбор новой активности Head Mare опубликован на Securelist. Аналитики также отмечают, что тактики и процедуры этой группировки вписываются в более широкую картину угроз, описанную в отчёте «Записки цифрового ревизора: три кластера угроз в киберпространстве».

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!