Кибератаки на государственные учреждения и предприятия оборонного сектора Европы и Азии, в том числе и России, проводит кибергруппа ToddyCat с 2021 года, сообщили в пресс-службе компании «Лаборатория Касперского», 27 июня сообщил ТАСС.

Механизм первоначального заражения до сих пор неизвестен, отметили в компании.

«„Лаборатория Касперского» обнаружила, что с 2021 года кибергруппа ToddyCat проводит сложные целевые атаки на государственные организации и предприятия оборонного сектора Европы и Азии, в том числе России. Атакующие компрометируют серверы Microsoft Exchange с помощью неизвестного эксплойта и уязвимости ProxyLogon», — отмечается в сообщении.

В компании отметили, что злоумышленники используют продвинутые инструменты для шпионажа, например — бэкдоры (методы обхода штатной авторизации, которые позволяют получать удаленный доступ к компьютеру) Samurai и троянец Ninja. Эти инструменты разработаны таким образом, чтобы после проникновения в целевые сети долго находиться на глубоких уровнях, оставаясь незамеченными для службы безопасности.

Программа Samurai помогает злоумышленникам управлять удаленной системой и распространяться по взломанной сети, при этом его действия в коде очень сложно отследить. Он также используется для запуска другой вредоносной программы — троянца Ninja, который позволяет работать одновременно на одном устройстве нескольким операторам.

В компании отметили, что впервые атаки группы ToddyCat были замечены в декабре 2020 года, а в феврале — марте 2021 года было зафиксировано резкое усиление активности группы, когда начались атаки в Европе и Азии.

«В течение прошлого года мы обнаружили множество загрузчиков и атак, но у нас все еще нет полной картины их операций и тактик. ToddyCat использует особенно сложное вредоносное ПО. Наиболее эффективно противостоять ему можно, если использовать многоуровневую защиту — тщательно мониторить внутренние ресурсы и отслеживать аналитические данные о киберугрозах», — подытожили в компании.