البرامج الضارة TODDLESHARK
حدد خبراء الأمن السيبراني برنامجًا ضارًا جديدًا يسمى TODDLERSHARK، تم نشره بواسطة جهات التهديد الكورية الشمالية التي استفادت من الثغرات الأمنية التي تم الكشف عنها مؤخرًا في ConnectWise ScreenConnect. يشير أحد التقارير إلى أن TODDLERSHARK تشترك في أوجه التشابه مع برامج Kimsuky الضارة المعروفة سابقًا، بما في ذلك BabyShark وReconShark.
تمكنت الجهات الفاعلة المرتبطة بالاحتيال من الوصول إلى محطة عمل الضحية من خلال استغلال نقاط الضعف في معالج إعداد تطبيق ScreenConnect. ومن خلال الوصول العملي على لوحة المفاتيح، استخدموا cmd.exe لتنفيذ mshta.exe، مع تضمين عنوان URL مرتبط بالبرامج الضارة المستندة إلى Visual Basic (VB).
الثغرات الأمنية في قلب المخاوف الأمنية لـ ConnectWise هي CVE-2024-1708 وCVE-2024-1709. منذ أن تم الكشف عن هذه الثغرات الأمنية، قامت العديد من الجهات الفاعلة في مجال التهديد باستغلالها على نطاق واسع. استخدمت هذه الجهات الخبيثة الثغرات الأمنية لتوزيع مجموعة من الحمولات غير الآمنة، بما في ذلك عمال مناجم العملات المشفرة، وبرامج الفدية، وأحصنة طروادة للوصول عن بعد، والبرامج الضارة التي تسرق البيانات.
جدول المحتويات
يعد مجرمو الإنترنت في Kimsuky من بين أكثر المجرمين نشاطًا
قامت مجموعة Kimsuky Advanced Persistent Threat (APT)، والمعروفة بأسماء مستعارة مختلفة مثل APT43 وARCHIPELAGO وBlack Banshee وEmerald Sleet (Thallium سابقًا) وKTA082 وNickel Kimball وVelvet Chollima، بتوسيع مجموعتها من أدوات البرامج الضارة باستمرار. ومن بين أحدث الإضافات GoBear و Troll Stealer.
تم تحديد BabyShark لأول مرة في أواخر عام 2018، من خلال ملف تطبيق HTML (HTA). عند التنفيذ، يقوم هذا البرنامج الضار لبرنامج VB النصي باستخراج معلومات النظام وإرسالها إلى خادم الأوامر والتحكم (C2). بالإضافة إلى ذلك، يقوم BabyShark بتثبيت النظام في انتظار المزيد من التعليمات من المشغل.
في مايو 2023، تم اكتشاف نسخة مختلفة من BabyShark، تسمى ReconShark. وتم تسليمها من خلال رسائل البريد الإلكتروني التصيدية، التي تستهدف الأفراد على وجه التحديد، وتعرض التطور المستمر لمجموعة APT وقدرتها على التكيف في عملياتها السيبرانية.
يُعتقد أن برنامج TODDLESHARK الضار هو تطور لتهديدات Kimsuki السابقة
يعتبر TODDLERSHARK أحدث تكرار لنفس البرنامج الضار، وهو واضح من التشابه في التعليمات البرمجية والسلوكية. وبصرف النظر عن استخدام مهمة مجدولة للحفاظ على الاستمرارية، فقد تم تصميم البرمجيات الخبيثة لالتقاط ونقل المعلومات الحساسة بشكل فعال من المضيفين المخترقين، وتعمل كأداة استطلاع قيمة.
يوضح TODDLERSHARK خصائص السلوك متعدد الأشكال، والذي يتجلى من خلال التعديلات في سلاسل الهوية داخل التعليمات البرمجية الخاصة به، وتغيير موضع التعليمات البرمجية من خلال التعليمات البرمجية غير المرغوب فيها التي تم إنشاؤها، واستخدام عناوين URL للأوامر والتحكم (C2) التي تم إنشاؤها بشكل فريد. تساهم هذه الميزات في التحدي المحتمل المتمثل في اكتشاف هذه البرامج الضارة في بيئات معينة.
التدابير الموصى بها من قبل الباحثين في مجال الأمن السيبراني ضد البرامج الضارة TODDLESHARK
لتعزيز أمان الأنظمة التي تقوم بتشغيل إصدارات ConnectWise ScreenConnect 23.9.7 والإصدارات الأقدم، يعد اتخاذ إجراء فوري أمرًا ضروريًا. يعد اتباع الإرشادات الموضحة في نصائح ConnectWise أمرًا بالغ الأهمية لمعالجة التنازلات المحتملة. ومن الضروري إعطاء الأولوية لحماية ومراقبة الأنظمة، وخاصة تلك التي يمكن الوصول إليها عبر الإنترنت. يمكن تحقيق ذلك من خلال نشر أداة الكشف عن نقطة النهاية والاستجابة لها (EDR) أو أداة مكافحة البرامج الضارة التي تم تكوينها خصيصًا لإجراء عمليات فحص شاملة للنظام بحثًا عن أغطية الويب.
بالإضافة إلى ذلك، يوصى بتنفيذ أو تكوين جدار حماية تطبيقات الويب (WAF) أو نظام مماثل لمراقبة حركة مرور الويب. ويسهل هذا الإجراء التحليل في الوقت الفعلي، ويوفر إمكانات كشف محسنة في حالة الاستغلال المحتمل، مما يساهم في إنشاء بنية تحتية أمنية أكثر قوة ومرونة.
