ToddyCatAPT攻击Microsoft Exchange服务器

关键要点

• ToddyCat高级持续威胁组织自2020年12月起攻击欧洲和亚洲的Microsoft Exchange服务器。
• 该操作涉及Samurai后门和新型Ninja木马，允许系统接管和横向网络移动。
• 利用ProxyLogon漏洞进行攻击，目标主要是欧洲和亚洲的政府及军事组织。
• 研究指出，ToddyCat与其他中文背景的APT组织存在重叠，但不同恶意软件家族之间没有直接互动的证据。

自2020年12月以来，新兴的ToddyCat高级持续威胁组织已攻击了位于欧洲和亚洲的MicrosoftExchange服务器。该组织的操作涉及传播Samurai后门和新的Ninja木马，成功实现了系统接管和网络横向移动，相关情况已由报告。

根据Kaspersky全球研究与分析团队的报告，ToddyCat组织开始利用来在未打补丁的MicrosoftExchange服务器上部署China Chopper webshell。自2021年2月起，该组织便针对众多存在漏洞的欧洲和亚洲组织，尤其是政府和军队单位。研究员GiampaoloDedola表示：“我们怀疑该组织自2020年12月起就开始利用MicrosoftExchange漏洞，尽管我们没有足够的信息来确认这个假设。无论如何，值得注意的是，12月到2月期间被感染的所有目标机器均为MicrosoftWindows Exchange服务器。攻击者使用了一种未知的漏洞对服务器进行攻破，而之后的攻击链与3月使用的攻击链相同。”

该报告还指出，ToddyCat与其他中文背景的APT组织存在重叠，包括一个利用FunnyDream后门的组织。不过，目前没有证据表明不同恶意软件家族之间存在直接互动。

相关链接