WebsiicおよびStorm-0247としても知られる高度なサイバー諜報脅威グループToddyCatは、欧州およびアジア全域の組織にとって重大なリスクとして台頭しています。
2020年12月に台湾とベトナムのMicrosoft Exchangeサーバーを標的として開始された同グループの活動は、その後、高度な回避技術と専用のマルウェアツールを活用する複雑な多段階キャンペーンへと進化しました。
これらの初期攻撃は、侵害されたシステムへの永続的なアクセスを維持する受動型バックドア「Samurai」のインストールへと結実しました。
脅威の状況は2021年2月に劇的に変化しました。ToddyCatは、広く知られるProxyLogon脆弱性(認証なしのリモートコード実行を可能にするMicrosoft Exchange Serverの重大な脆弱性)の悪用へと舵を切ったのです。
この脆弱性CVE-2021-31207は、欧州およびアジア全域の著名な組織に対する攻撃が急速にエスカレートする主要な侵入経路となりました。
初期感染ベクターを変更したにもかかわらず、ToddyCatはその後の攻撃チェーンに一貫性を保っており、侵害後活動に関する標準化された手法を示唆しています。
2020年12月の初期キャンペーンは、ToddyCatの技術的高度さを示しました。同グループは未特定の脆弱性を悪用してExchangeサーバーにChina Chopperウェブシェルを展開し、その後の感染チェーンを可能にする足掛かりを築きました。
ToddyCatマルウェアの概要
2021年9月までに、ToddyCatの活動範囲はサーバー基盤を超えて中央アジアのデスクトップシステムにも拡大しました。ツールはMicrosoft資格情報およびDPAPIマスターキーに関連するファイルのコピーも試みます。
この段階で同グループは、ソーシャルエンジニアリングと代替的な通信チャネルを活用して従来のネットワーク防御を回避し、Telegram経由でNinjaトロイの木馬のローダーを配布しました。この多様化は、運用能力を拡大する適応的な脅威アクターであることを反映しています。
2024年に記録された最近の活動は、同グループの継続的な進化を明らかにしています。2024年初頭、セキュリティ研究者は侵害されたマシンの一時ディレクトリ内でversion.dllという不審なファイルを検出しました。
この痕跡は、ESETコマンドラインスキャナーの脆弱性を悪用するよう設計された高度なツールTCESBであると特定されました。
2024年5月から6月にかけて、TomBerBilツールの新しいPowerShell亜種がドメインコントローラー上で実行されているのが発見され、SMB共有を介してChrome、Edge、Firefoxブラウザーから資格情報とCookieを収集することを明確に標的としていました。
ToddyCatの運用手法は、卓越した技術的成熟度を示しています。同グループはPowerShellとWindowsコマンドシェルを広範に使用して悪意あるスクリプトを実行し、データ窃取とシステム偵察を自動化しています。
永続性は、スケジュールタスクとリバースSSHトンネルによって維持され、侵害環境への長期的なアクセスを可能にします。
防御回避戦略は特に注目に値し、DBUtilDrv2.sysのような脆弱なドライバーのインストールによる「Bring Your Own Vulnerable Driver」(BYOVD)手法に加え、信頼されたプロセスのコンテキスト内で悪意あるコードを実行するDLLサイドローディング攻撃を組み込んでいます。
緩和策
データの持ち出しはToddyCatのワークフローにおける重要な要素です。同グループは、Outlookのオフラインストレージテーブル(OST)ファイルに対するファイルロックを回避するためにTCSectorCopyのような専用ツールを使用します。これは、標準的なWindows APIの制限を回避するためにドライバーレベルでディスクデバイスを開く高度な手法です。
盗まれたデータは、確立されたコマンド&コントロールチャネルを通じて送信される前に、WinRARまたは7-Zipユーティリティで圧縮されます。
同グループの資格情報窃取戦略には、プロセスメモリからのOAuthトークン抽出、ブラウザー資格情報の収集、Windows資格情報マネージャーの悪用が含まれます。
侵害されたネットワーク内でのラテラルムーブメントは、管理共有へのSMBプロトコルアクセスによって促進され、SSHクライアントなどのツールを転送したり、複数のシステムにわたってユーザーディレクトリから資格情報を抽出したりすることを可能にします。
この体系的なアプローチにより、ToddyCatは永続的な存在を確立し、単一のインシデント内で複数の組織ターゲットからデータを持ち出すことができます。
ToddyCatに狙われる組織は、異常なPowerShell実行、スケジュールタスク作成パターン、リバースSSHトンネル確立に焦点を当てた包括的な検知コントロールを実装すべきです。
SMB共有アクセス、Outlookファイル操作、ブラウザーの資格情報リポジトリに対する監視強化は、早期の脅威検知に不可欠です。
同グループが示す高度さは、潜在的な侵害を封じ込めるための堅牢なインシデント対応手順とネットワークセグメンテーションを必要とします。
翻訳元: https://gbhackers.com/toddycat-malware/
