ToddyCat installa Samurai e Ninja su Exchange

ToddyCat installa Samurai e Ninja su Exchange

TeddyCat è un gruppo di cybercriminali poco noto, ma già attivo da fine 2020 con una serie di attacchi effettuati contro server Microsoft Exchange.
TeddyCat è un gruppo di cybercriminali poco noto, ma già attivo da fine 2020 con una serie di attacchi effettuati contro server Microsoft Exchange.

ToddyCat è un gruppo di cybercriminali poco noto, ma già attivo da fine 2020, quando ha colpito diverse aziende asiatiche sfruttando le vulnerabilità ProxyLogon di server Microsoft Exchange. Più recentemente sono stati scoperti attacchi anche in Europa e contro computer desktop. I ricercatori di Kaspersky hanno individuato due nuovi malware denominati Samurai e Ninja.

Backdoor e trojan per server e desktop

La prima ondata di attacchi è stata indirizzata contro server Microsoft Exchange utilizzando Samurai, una sofisticata backdoor che consente l’accesso remoto dalle porte 80 e 443. Il malware modulare permette ai cybercriminali di controllare il sistema target e accedere ai file.

La backdoor può inoltre scaricare il trojan Ninja che consente la gestione remota da parte di più operatori allo stesso tempo. Entrambi i malware utilizzano varie tecniche di offuscamento per non lasciare tracce (file o processi) nel sistema ed evitare la rilevazione da parte delle soluzioni di sicurezza.

I bersagli sono principalmente aziende, ma i ricercatori hanno rilevato la presenza di Ninja anche in sistemi desktop. I componenti del trojan sono stati distribuiti mediante archivi zip inviati con Telegram. Come detto, i malware sono difficili da individuare perché sfruttano processi legittimi di Windows e porte usate anche da Microsoft Exchange. Occorrono quindi soluzioni di sicurezza avanzate, come Bitdefender GravityZone Business Security. Ovviamente devono essere installate tutte le patch per sistema operativo e software.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Fonte: Securelist
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 22 giu 2022
Link copiato negli appunti