ToddyCat: grupo ameaça grandes empresas com malware

ToddyCat é um grupo APT relativamente novo e sofisticado, cuja atividade foi detetada pela primeira vez por investigadores da Kaspersky em Dezembro de 2020, quando levou a cabo uma série de ataques aos servidores-alvo da Microsoft Exchange.

Entre fevereiro e março de 2021, a Kaspersky observou uma rápida escalada quando o ToddyCat começou a explorar a vulnerabilidade do ProxyLogon nos servidores Microsoft Exchange para comprometer múltiplas organizações em toda a Europa e Ásia.

A partir de Setembro de 2021, o grupo moveu a sua atenção para as máquinas desktop relacionadas com o governo e entidades diplomáticas na Ásia.

O grupo atualiza constantemente o seu arsenal e continua a realizar ataques em 2022. 

Embora não seja claro qual é o vetor inicial de infeção para as atividades mais recentes, os investigadores realizaram uma análise minuciosa do malware utilizado nas campanhas, concluindo que o ToddyCat utiliza o backdoor Samurai e o Ninja Trojan.

Falamos de duas sofisticadas ferramentas de ciberespionagem concebidas para penetrar profundamente em redes alvo, ao mesmo tempo que mantém persistentemente a sua furtividade.

“O grupo ToddyCat é um sofisticado agente de ameaças com elevadas capacidades técnicas, capaz de voar sob o radar e de se tornar uma organização de alto nível. Apesar do número de loaders e ataques descobertos durante o último ano, ainda não temos uma visibilidade completa das suas operações e táticas”, comenta Giampaolo Dedola, perito em segurança da Kaspersky.