ToddyCat-ը Samurai-ի և Ninja-ի միջոցով գրոհում է Եվրոպայի և Ասիայի պետական և պաշտպանական կազմակերպությունները
«Կասպերսկի» ընկերությունը հայտնաբերել է, որ ToddyCat կիբեռխմբավորումը 2021-ից բարդ թիրախային գրոհներ է իրականացնում Եվրոպայի և Ասիայի պետական կազմակերպությունների և պաշտպանական հատվածի ձեռնարկությունների վրա: Գրոհողները կոտրում են Microsoft Exchange սերվերներն անհայտ էքսպլոյտի և ProxyLogon խոցելիության միջոցով: Ընդ որում, օգտագործվում են եզակի Samurai բեկդորը և Ninja տրոյացին՝ կիբեռլրտեսության համար նախատեսված երկու առաջ անցած գործիքներ։ Դրանք մշակված են այնպես, որ թիրախային ցանցեր ներթափանցելուց հետո երկար ժամանակ գտնվեն խորը մակարդակներում՝ մնալով աննկատ։ Ընկերությունը հայտնում է, որ այսօրվա դրությամբ չկան ավելի ճշգրիտ տվյալներ այն մասին, թե ինչպես է տեղի ունենում նախնական վարակումը։
Ընկերության փորձագետները պարզաբանում են, որ Samurai-ը մոդուլային բեկդոր է, գրոհի վերջնական փուլի բաղադրիչ, որը թույլ է տալիս գրոհողին կառավարել հեռավար համակարգը և տեղափոխվել կոտրված ցանցով: Samurai-ը նաև օգտագործվում է մեկ այլ վնասաբեր ծրագրի՝ Ninja տրոյացու գործարկման համար, որը թույլ է տալիս բազմաթիվ օպերատորներին միաժամանակ աշխատել մեկ սարքում: Ninja տրոյացին տրամադրում է հրամանների լայն լրակազմ, որոնք թույլ են տալիս գրոհողներին վերահսկել հեռավար համակարգերը՝ խուսափելով հայտնաբերումից։
«ToddyCat-ը բարձր տեխնիկական հմտություններ ունեցող առաջ անցած կիբեռխմբավորում է, որը կարող է աննկատ մնալ և ներթափանցել խոշոր հայտնի կազմակերպություններ: Անցած տարվա ընթացքում մենք հայտնաբերել ենք բազմաթիվ ներբեռնիչներ և գրոհներ, բայց մենք դեռևս չունենք նրանց գործողությունների և մարտավարությունների ամբողջական պատկերը: ToddyCat-ն օգտագործում է առանձնապես բարդ վնասաբեր ծրագրային ապահովում: Դրան առավել արդյունավետ կարելի է դիմակայել բազմամակարդակ պաշտպանություն կիրառելու՝ ներքին ռեսուրսները մանրակրկիտ մշտադիտարկելու և կիբեռսպառնալիքների վերաբերյալ վերլուծական տվյալներին հետևելու դեպքում»,- մեկնաբանում է «Կասպերսկի» ընկերության Ռուսաստանի հետազոտական կենտրոնի ղեկավար Մարիա Նամեստնիկովան։
Բարդ կիբեռգրոհներից պաշտպանվելու համար «Կասպերսկի» ընկերությունը խորհուրդ է տալիս ընկերություններին տեղեկատվական անվտանգության մասնագետներին տրամադրել սպառնալիքների մասին ամենաթարմ տվյալներին հասանելիություն, ներդնել Endpoint Detection and Response լուծումներ՝ վերջնական սարքերում սպառնալիքներ հայտնաբերելու, միջադեպերը հետաքննելու և դրանցից հետո ժամանակին վերականգնվելու համար; ի լրումն հիմնական պաշտպանական պրոդուկտների օգտագործել կորպորատիվ մակարդակի լուծում, որն ի զորու է հայտնաբերել առաջ անցած սպառնալիքները ցանցային մակարդակով վաղ փուլում; աշխատակիցներին սովորեցնել կիբեռհիգիենայի հիմնական կանոնները, քանի որ գրոհները հաճախ սկսվում են ֆիշինգից կամ սոցիալական ինժեներիայի այլ տեխնիկաներից:
Ավելի մանրամասն՝ այստեղ․