ToddyCat：政府和防御部门的高级持续威胁组织

重要资讯概述

ToddyCat是一个对政府和防御部门发动攻击的高级持续威胁APT组织，近日在亚太地区的受害者组织中大规模窃取了大量数据。这个组织自2020年12月以来一直活跃，且其成员被认为是说中文的团体，但其具体来源及联系尚不清楚。研究者指出，该组织使用了多种工具来进行数据提取，以便在被发现的情况下仍能持续访问受害者系统。

ToddyCat的运作模式和攻击实施

Kaspersky的研究人员最早在2022年详述了这个神秘团体的活动。最初，ToddyCat主要针对台湾和越南的少数组织，但随著2021年早期Microsoft Exchange Server出现ProxyLogon漏洞，它的攻击范围扩大到了许多欧洲和亚洲的组织。

在2023年，ToddyCat加强了其工具和技术，对多个亚洲国家的政府机构和电信提供商展开了持续攻击。Kaspersky本周发表的最新分析指出，该团体在观察期间以“工业规模”窃取了大量数据。

“为了从许多主机收集大量数据，攻击者需要尽可能自动化数据收集过程，并提供多种替代方案以持续访问和监控其攻击的系统。” Kaspersky研究人员

持久性访问促进了广泛的数据窃取

该团体攻击的一个特点是喜欢使用不同的工具建立多条通道来访问目标组织的基础设施。这使得即使一条通道被发现并消除，ToddyCat仍能保持对受侵害系统的访问。

研究者表示：“通过确保对基础设施的持续访问，攻击者得以进行侦察并连接到远端主机。”

ToddyCat的战术包括创建反向SSH隧道来获取远端网络服务的访问权限。此外，该团体还使用了SoftEther VPN，这是一个开源解决方案，允许通过多种流行协议建立VPN连接。

“在我们观察的几乎每个案例中，攻击者将vpnserverx64exe重命名，以隐藏其在感染系统中的目的。” Kaspersky研究人员

攻击者还使用共享资源将文件传输到受害者主机，并通过curl工具从远端资源下载文件。有时，ToddyCat甚至通过隧道访问受害者的合法云提供商的远程基础设施。

防范建议

为了防范ToddyCat的攻击，研究者建议防护者在其防火墙的拒绝列表中包括提供流量隧道的云服务资源和IP地址。他们还建议限制系统管理员访问主机的远端工具范围，以减少风险。

“不使用的工具必须被禁止或在可疑活动的指示下进行彻底监控。此外，应要求用户避免在浏览器中存储密码，因为这会帮助攻击者访问敏感信息。” Kaspersky研究人员

总之，使用相同的密码在不同服务上会增加数据被攻击者获取的风险，因此强烈建议实施良好的密码管理策略。