تهديد “تودي كات” يضرب خوادم مايكروسوفت إكستشينج بثغرة “بروكسي لوجن”

تُشكل مجموعة ToddyCat، وهي مجموعة تجسس سيبراني متطورة، تهديدًا مستمرًا يستهدف منظمات رفيعة المستوى عبر قارات متعددة. بدأت عمليات المجموعة في ديسمبر 2020 باختراق خوادم Microsoft Exchange في تايوان وفيتنام باستخدام ثغرة لم يتم تحديدها بعد.

ومع ذلك، توسعت قدراتها بشكل كبير في فبراير 2021 عندما بدأت في استغلال ثغرة ProxyLogon لاستهداف منظمات في جميع أنحاء أوروبا وآسيا. شكل هذا التحول نقطة تحول في عملياتها، مما سمح لها بالانتقال من الأهداف الإقليمية إلى نطاق عالمي. تُظهر البنية التحتية لهجمات المجموعة براعة ومرونة ملحوظة.

ToddyCat: التهديدات السيبرانية المتطورة

تشمل عمليات المجموعة نشر وتنوع في برمجيات خبيثة مختلفة، بما في ذلك شل الويب China Chopper وباب خلفي Samurai، مما يمكّنها من إنشاء نقاط موطئ قدم أولية على الأنظمة المخترقة. حتى سبتمبر 2021، وسعت ToddyCat نطاق وصولها لتشمل أنظمة سطح المكتب في آسيا الوسطى، حيث وزعت برمجيات Ninja Trojan المحملة عبر Telegram.

في الآونة الأخيرة، في عام 2024، قدمت المجموعة أدوات معقدة مثل TCESB المصممة لاستغلال نقاط الضعف في منتجات الأمان، مما يدل على تطورها المستمر. وقد حدد محللو Picus Security النهج المتطور للمجموعة للحفاظ على الوصول المستمر وإجراء المراقبة على البيئات المستهدفة.

يجمع الجهات الفاعلة السيئة بين طرق التنفيذ المتعددة لتجنب الكشف والحفاظ على الأمن التشغيلي طوال حملاتها. تتميز هذه المجموعة بقدرتها على التكيف والتطور المستمر في أساليب الهجوم.

آليات جمع بيانات الاعتماد والتهرب من الدفاع

تكشف تكتيكات المثابرة التي تستخدمها ToddyCat عن فهم عميق لهيكلية الأمن في أنظمة Windows. تستخدم المجموعة المهام المجدولة لتنفيذ أدوات جمع البيانات تلقائيًا، وتشغيل أوامر PowerShell مع علامات تجنب لتجاوز سياسات التنفيذ.

يُظهر مثال حاسم استخدامهم للأمر: powershell -exec bypass -command c445.ps1، والذي يسمح بتنفيذ البرامج النصية الضارة المخزنة في مجلدات ProgramData باستمرار. إن تقنيات التهرب من الدفاع لديهم جديرة بالملاحظة بشكل خاص.

تستخدم المجموعة تقنية “أحضر برنامج التشغيل الخاص بك القابل للاختراق” عن طريق تثبيت برنامج التشغيل المعرض للثغرات DBUtilDrv2.sys لتعديل هياكل نواة النظام. بالإضافة إلى ذلك، فإنهم يستخدمون استراتيجيات تحميل جانب DLL حيث تعيد الإصدارات الضارة من المكتبات الشرعية توجيه استدعاءات الوظائف أثناء تنفيذ حمولات مخفية.

هذا النهج يستغل الطريقة التي تقوم بها Windows بتحميل المكتبات، مما يسمح بتشغيل التعليمات البرمجية الضارة ضمن العمليات الموثوقة. بالنسبة للوصول إلى بيانات الاعتماد، تقوم ToddyCat بتفريغ ذاكرة المتصفحات لاستخراج كلمات المرور المحفوظة من متصفحات Chrome و Firefox و Edge، مع استهداف ملفات مثل Login Data و logins.json بشكل خاص.

يستخدمون برامج نصية من PowerShell لجمع بيانات الاعتماد المصادقة بشكل منهجي. كما تقوم المجموعة بحصاد رموز OAuth من تطبيقات Microsoft 365، مما يمنحها الوصول إلى موارد السحابة. بمجرد اكتمال جمع البيانات، يقومون بضغط كل شيء باستخدام WinRAR مع التشفير، وإرسال المواد المجمعة عبر قنوات القيادة والتحكم.

يُظهر هذا النهج متعدد الأوجه سبب كون ToddyCat تهديدًا كبيرًا للبنية التحتية الأمنية للمؤسسات.