По данным «Лаборатории Касперского», хакерская группировка ToddyCat с 2021 года проводит кибератаки на государственные и оборонные организации Европы и Азии, в том числе России.
Хакеры получают доступ к серверам Microsoft Exchange при помощи неизвестного эксплойта и уязвимости ProxyLogon. Также используются бэкдор Samurai и троян Ninja. Оба остаются в заражённых сетях продолжительное время, оставаясь незамеченными.
Первый предназначен для удалённого доступа к системам, позволяет злоумышленнику перемещаться по сети компании. Он же используется для запуска троянца Ninja, который, в свою очередь, позволяет контролировать удалённые системы, отправлять TCP-пакеты и брать сеть под контроль.
Как происходит первоначальное заражение, в «Лаборатории Касперского» не рассказали. Впервые исследователи компании обнаружили атаки ToddyCat в декабре 2020 года, а в феврале-марте 2021 года было зафиксировано усиление активности группировки. Сообщается, что с сентября 2021 года ToddyCat специализируется на компьютерах в сетях азиатских государственных органов и дипломатических представительств.
«Лаборатория Касперского» рекомендует компаниям следующее, чтобы защититься от сложных кибератак: