ToddyCat Hacker Grubu, MS Exchange Sunucularını Hedefliyor

Çin bağlantılı olduğu düşünülen ToddyCat grubu, ağırlıklı olarak kamu ve askeri kuruluşlar olmak üzere Asya ve Avrupa'yı hedeflemeye devam ediyor.

Aralık 2020'den beri aktif olarak saldırıları görülüyor. Mart 2021 ProxyLogon zafiyetinden de faydalanarak Asya ve Avrupa'da özel ve kamu kuruluşlarının e-posta sunucularını hedeflediği biliniyor.

ToddyCat APT

ToddyCat grubunun genel olarak kullandığı senaryo; 

Genel olarak 2 farklı zararlı yazılım kullanıldığı biliniyor, Samurai ve Ninja. 

Samurai; saldırganlara İnternet'e yönelik Web sunucularında kalıcı erişim sağlamak için tasarlanmış pasif bir arka kapıdır.

Ninja; güvenliği ihlal edilmiş sistemlerde sömürü sonrası faliyetleri gerçekleştirmek için kullanılan zararlı yazılımdır.

Dışarı açık olan genellikle 80. ve 443. portlarda çalışan Samurai zararlı yazılımı ile zafiyeti bulunan Microsoft Exchange sunucularını hedefleyerek ProxyLogon zafiyetini kullanarak sistemlere sızdığı ve devamında Ninja yazılımı ile iç ağda yanal hareketler gerçekleştirerek ağdaki diğer sistemlere de ulaşarak ağda yüksek profilli bir kullanıcı hakkı elde ettiği görülüyor. ProxyLogon zafiyetini ilk kullanan gruplardan biri olarak dikkat çekiyor. Uzak sistemleri kontrol etmek, tespit edilmesini engellemek, dosya sızdırmak, proxy bağlantısı ile kendi trafiğini oluşturmak ve hedeflenen ağın derinliklerine sızmak en büyük özellikleri arasında yer alıyor.

Grup ilk saldırılarında Tayvan ve Vietnam devlet ve askeri kuruluşlarını hedefledi. ProxyLogon zafiyeti sonrasında ise Rusya, Birleşik Krallık, Slovakya, Hindistan, İran, Pakistan, Endonezya ve Malezya gibi ülkelerde de saldırılarına devam etti.

Bu tür saldırılardan etkilenmemek, dışarıya açık sistemlerinizin güvenliğini sağlamak için BU SALDIRIDA TINA NE FAYDA SAĞLAYABİLİRDİ? alanında çözümlerimizi bulabilirsiniz. bizlerle ZOOM üzerinden de iletişime geçebilirsiniz.

Ninja C2
149.28.28[.]159
eohsdnsaaojrhnqo.windowshost[.]us

File paths
C:\inetpub\temp\debug.exe
C:\Windows\Temp\debug.exe
C:\Windows\Temp\debug.xml
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files\web.exe
C:\Users\Public\Downloads\dw.exe
C:\Users\Public\Downloads\chrome.log
C:\Windows\System32\chr.exe
C:\googleup.exe
C:\Program Files\microsoft\exchange server\v15\frontend\httpproxy\owa\auth\googleup.log
C:\google.exe
C:\Users\Public\Downloads\x64.exe
C:\Users\Public\Downloads\1.dll
C:\Program Files\Common Files\microsoft shared\WMI\iiswmi.dll
C:\Program Files\Common Files\microsoft shared\Triedit\Triedit.dll
C:\Program Files\Common Files\System\websvc.dll
C:\Windows\Microsoft.NET\Framework\sbs_clrhost.dll
C:\Windows\Microsoft.NET\Framework\sbs_clrhost.dat
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files\web.xml
C:\Users\Public\Downloads\debug.xml
C:\Users\Public\Downloads\cache.dat
C:\Windows\System32\config\index.dat
C:\Windows\Microsoft.NET\Framework\netfx.dat
%ProgramData%\adobe\2.dll
%ProgramData%\adobe\acrobat.exe
%ProgramData%\git\git.exe
%ProgramData%\intel\mstacx.dll
%ProgramData%\microsoft\drm\svchost.dll
%ProgramData%\microsoft\mf\svchost.dll
%ProgramData%\microsoft\mf\svhost.dll
%program files%\Common Files\services\System.Core.dll
%public%\Downloads\1.dll
%public%\Downloads\config.dll
%system%\Triedit.dll
%userprofile%\Downloads\Telegram Desktop\03.09.2021 г.zip
%userprofile%\Downloads\Telegram Desktop\Тех.Инструкции.zip
%userprofile%\libraries\1.dll
%userprofile%\libraries\chrome.exe
%userprofile%\libraries\chrome.log
%userprofile%\libraries\config.dll
C:\intel\2.dll
C:\intel\86.dll
C:\intel\x86.dll

Registry Keys
$HKLM\System\ControlSet\Services\WebUpdate
$HKLM\System\ControlSet\Services\PowerService
$HKLM\SOFTWARE\Classes\Interface\{6FD0637B-85C6-D3A9-CCE9-65A3F73ADED9}
$HKLM\SOFTWARE\Classes\Interface\{AFDB6869-CAFA-25D2-C0E0-09B80690F21D}

BU SALDIRIDA TINA NE FAYDA SAĞLAYABİLİRDİ?

TINA "Breaking The Attack Chain" metodolojisi ile siber savunma sağlar; başarılı bir siber saldırıları için gereken çeşitli aşamaları kırmak ve saldırıyı engellemek üzere farklı teknolojiler üretmektedir. 

- Görünürlüğü Engelleme: TINA'nın en yeni ürünü ile servislerin İnternet üzerinden görünürlüğü ve erişilebilirliği kontrol edilebilmekte ve saldırı riski minimize edilmektedir.

- Yatay İlerlemeyi Engelleme: TINA Advanced Threat Protection modelleri, ağ içerisine sızma olması durumunda yatay ilerlemeleri tespit etmektedir.

- Merkeze Dönüş Bağlantılarını Engelleme: TINA Advanced Threat Protection modelleri, ağ içerisine sızma olması durumunda saldırının devamındaki çalışmalar için gereken merkez ile iletişime geçme (C&C) bağlantılarını engellemek üzere geliştirilmiş teknolojileri de barındırmaktadır.

Siber Güç etkinliğinde ziyaretçilerimize bahsettiğimiz en son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ZOOM toplantı talebini buradan başlatabilirsiniz.