ToddyCat è un gruppo di cybercriminali poco noto, ma già attivo da fine 2020, quando ha colpito diverse aziende asiatiche sfruttando le vulnerabilità ProxyLogon di server Microsoft Exchange. Più recentemente sono stati scoperti attacchi anche in Europa e contro computer desktop. I ricercatori di Kaspersky hanno individuato due nuovi malware denominati Samurai e Ninja.
Backdoor e trojan per server e desktop
La prima ondata di attacchi è stata indirizzata contro server Microsoft Exchange utilizzando Samurai, una sofisticata backdoor che consente l’accesso remoto dalle porte 80 e 443. Il malware modulare permette ai cybercriminali di controllare il sistema target e accedere ai file.
La backdoor può inoltre scaricare il trojan Ninja che consente la gestione remota da parte di più operatori allo stesso tempo. Entrambi i malware utilizzano varie tecniche di offuscamento per non lasciare tracce (file o processi) nel sistema ed evitare la rilevazione da parte delle soluzioni di sicurezza.
I bersagli sono principalmente aziende, ma i ricercatori hanno rilevato la presenza di Ninja anche in sistemi desktop. I componenti del trojan sono stati distribuiti mediante archivi zip inviati con Telegram. Come detto, i malware sono difficili da individuare perché sfruttano processi legittimi di Windows e porte usate anche da Microsoft Exchange. Occorrono quindi soluzioni di sicurezza avanzate, come Bitdefender GravityZone Business Security. Ovviamente devono essere installate tutte le patch per sistema operativo e software.