ToddyCat ｜ブログ(ほぼこもセキュリティニュース)｜(株)コンステラセキュリティジャパン

ほぼこもセキュリティニュース　By Terilogy Worx

ToddyCatは新しく認識されたAPTグループです。
このグループの活動は2020年12月から観測されていますが既存のどのグループであるとも認識できない状態が続き、新たなグループと認識されるに至りました。
グループの作戦は変わっていくものですが、ToddyCatの作戦は概ね次のような流れです。

初期アクセス
ProxyLogonを悪用します。
ProxyLogonで認証を回避したら、China Chopper Webシェルを現地に持ち込みます。
ドロッパーの展開
Webシェルはドロッパーを展開します。
ドロッパーは自身には悪事を働く機能は実装されていませんが、なんらかのペイロードを展開する機能が実装されています。
Samuraiバックドアの展開
ドロッパーはSamuraiバックドアを展開します。
Samuraiはモジュラー型のバックドアです。
C＃で記述されているものなのですがバイナリでは配布されていません。
マルウェアの実行時にコンパイルして実行されます。
またソースコードの難読化も実施されています。
バイナリのHASHで攻撃を検知することも容易ではありませんし、難読化されたソースコードの検出も容易ではないと考えられます。
Samuraiには、リモートコマンド実行、ファイルリスト取得、ファイルの取り出し、異なる機器への接続機能、受信したHTTPリクエストの外部への転送、などの機能を有します。
Ninjaの展開
バックドアが展開するモジュールの中に、Ninjaと命名されたツールがロードされる場合もあります。
Ninjaは、プロセス列挙機能、ファイルシステム管理機能、リバースシェル機能、任意のプロセスへのコード挿入機能、プラグイン機能、C2との通信機能、などの機能を有します。
これらの機能によって攻撃者はかなり自由に侵入先で活動することができます。
多くの他のグループはこういった機能をCobaltStrikeなどを使って実現していることが観測されていますが、ToddyCatは自前で用意したのかもしれません。
ちなみにNinjaはファイルレスです。
ターゲットシステムのメモリの中で組み立てられ、呼び出されます。