【安全资讯】ToddyCat:针对欧洲和亚洲知名实体的新APT组织

猎影实验室 2022-06-22 14:38:10 207人浏览

ToddyCat是一个相对较新的 APT攻击者,至少自 2020 年 12 月以来,针对欧洲、亚洲政府和军事实体发起了一系列攻击。ToddyCat使用了两个独特的工具“Samurai后门”和“Ninja木马”。Samurai 是一种复杂的被动后门,通常在端口 80 和 443 上运行。该恶意软件允许任意 C# 代码执行,并与多个模块一起使用,允许攻击者管理远程系统并在目标网络内横向移动。Samurai 后门还被用来启动Ninja恶意程序,该工具可能是 ToddyCat 专门使用的未知后利用工具包的一个组件。

 

 

ToddyCat 于 2020 年 12 月 22 日开始使用针对 Microsoft Exchange 组件的未知漏洞攻击服务器。该漏洞被用来部署China Chopper web shell,该shell又被用来下载和执行另一个dropper,debug.exe。dropper 安装所有其他组件并创建多个注册表项以强制合法的 svchost.exe 进程加载最终的 Samurai 后门。感染工作流程如下:

失陷指标(IOC)18
APT ToddyCat Samurai Ninja 政府部门 国防
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。