Resumen: Una nueva APT se dirige a los servidores Microsoft Exchange utilizando dos herramientas, hasta ahora, desconocidas.
Los investigadores de Kaspersky revelaron en un informe, haber detectado una nueva amenaza persistente avanzada que apunta contra los servidores MS Exchange.
Apodada como ToddyCat, la APT comenzó sus actividades en diciembre del 2020 y, de acuerdo con los investigadores, sus recientes operaciones distribuyen dos herramientas nunca antes vistas, denominadas por Kaspersky como “Samurai backdoor” y “Ninja trojan”.
Hasta hace algunos meses, los operadores de ToddyCat únicamente apuntaban contra un número muy limitado de servidores en ubicados en Taiwán y Vietnam.
No obstante, desde el 26 de febrero hasta hoy, ha habido una gran escalada en el número de ataques dirigidos.
Hoy en día, ToddyCat se dirige contra organizaciones ubicadas en toda Europa y Asia, por lo que es probable que en tan solo unos meses extiendan sus operaciones contra el resto del mundo.
Ahora bien, el análisis de Kaspersky muestra que actualmente ToddyCat se centra en objetivos de alto perfil y es utilizado para llevar a cabo amenazas de severidad crítica.
Capacidades de ToddyCat: Penetrar en las redes objetivo Evitar su detección Controlar los indicadores HTTP Esconder el tráfico malicioso en peticiones HTTP
Aunque por el momento se desconoce la cadena de infección completa, así como las etapas posteriores del malware, la mayoría de los ataques de ToddyCat se llevan a cabo mediante el uso de Samurai y Ninja.
Herramientas que poseen un kit de post-explotación desconocido, así como un amplio conjunto de comandos utilizados únicamente por los ciberdelincuentes de ToddyCat.
Finalmente, es preciso destacar que ToddyCat se trata de una sofisticada APT que emplea múltiples técnicas para evadir su detección y penetrar en lo más profundo de las redes de sus víctimas.
Dicho esto, se le insta a todos los administradores a tomar las precauciones necesarias y a vigilar constantemente sus sistemas.
Recomendaciones: Medidas para prevenir la descarga de malware Mantener sus dispositivos actualizados y parcheados Activar la autenticación de dos factores Evitar descargar archivos sospechosos No abrir enlaces desconocidos
Referencias: https://www.infosecurity-magazine.com/news/new-toddycat-apt-targets-ms/ https://duo.com/decipher/new-toddycat-apt-targets-exchange-servers |
SÍGUENOS