По данным «Лаборатории Касперского», хакерская группировка ToddyCat с 2021 года проводит кибератаки на государственные и оборонные организации Европы и Азии, в том числе России.

Хакеры получают доступ к серверам Microsoft Exchange при помощи неизвестного эксплойта и уязвимости ProxyLogon. Также используются бэкдор Samurai и троян Ninja. Оба остаются в заражённых сетях продолжительное время, оставаясь незамеченными.

Первый предназначен для удалённого доступа к системам, позволяет злоумышленнику перемещаться по сети компании. Он же используется для запуска троянца Ninja, который, в свою очередь, позволяет контролировать удалённые системы, отправлять TCP-пакеты и брать сеть под контроль.

Как происходит первоначальное заражение, в «Лаборатории Касперского» не рассказали. Впервые исследователи компании обнаружили атаки ToddyCat в декабре 2020 года, а в феврале-марте 2021 года было зафиксировано усиление активности группировки. Сообщается, что с сентября 2021 года ToddyCat специализируется на компьютерах в сетях азиатских государственных органов и дипломатических представительств.

«Лаборатория Касперского» рекомендует компаниям следующее, чтобы защититься от сложных кибератак:

• Предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах
• Внедрять EDR-решения для обнаружения угроз на конечных устройствах
• Использовать защитные решения корпоративного уровня
• Обучать сотрудников базовым правилам кибербезопасности.