TODDLESHARK Зловреден софтуер
Експерти по киберсигурност са идентифицирали нов злонамерен софтуер, наречен TODDLERSHARK, внедрен от севернокорейски заплахи, които са се възползвали от наскоро разкритите уязвимости в сигурността в ConnectWise ScreenConnect. Доклад показва, че TODDLERSHARK споделя прилики с известния преди това зловреден софтуер Kimsuky, включително BabyShark и ReconShark.
Актьорите, свързани с измама, са получили достъп до работната станция на жертвата, като са използвали уязвимости в съветника за настройка на приложението ScreenConnect. С този достъп до „ръчна клавиатура“ те използваха cmd.exe, за да изпълнят mshta.exe, включвайки URL, свързан към базирания на Visual Basic (VB) зловреден софтуер.
Уязвимостите в центъра на опасенията за сигурността на ConnectWise са CVE-2024-1708 и CVE-2024-1709. Откакто тези уязвимости бяха разкрити, множество участници в заплахи ги експлоатираха широко. Тези злонамерени участници са използвали уязвимостите, за да разпространят набор от опасни полезни товари, включително копачи на криптовалута, рансъмуер, троянски коне за отдалечен достъп RATS) и злонамерен софтуер крадец.
Съдържание
Киберпрестъпниците от Kimsuky са сред най-активните
Групата Kimsuky Advanced Persistent Threat (APT), разпозната с различни псевдоними като APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (бивш Thallium), KTA082, Nickel Kimball и Velvet Chollima, последователно разширява своя репертоар от инструменти за зловреден софтуер. Сред най-новите допълнения са GoBear и Troll Stealer.
Идентифициран за първи път в края на 2018 г., BabyShark е иницииран чрез файл с HTML приложение (HTA). При изпълнение този злонамерен софтуер на VB скрипт извлича системна информация и я изпраща на сървър за командване и управление (C2). Освен това BabyShark установява постоянство в системата, очаквайки допълнителни инструкции от оператора.
През май 2023 г. беше открит вариант на BabyShark, наречен ReconShark. Беше доставен чрез фишинг имейли, специално насочени към отделни лица, демонстрирайки продължаващата еволюция и адаптивност на групата APT в техните кибер операции.
Смята се, че зловредният софтуер TODDLESHARK е еволюция на предишни заплахи Kimsuki
TODDLERSHARK се счита за най-новата итерация на същия злонамерен софтуер, което се вижда от приликите в кода и поведението. Освен че използва планирана задача за поддържане на устойчивост, злонамереният софтуер е проектиран да улавя и предава ефективно чувствителна информация от компрометирани хостове, функционирайки като ценен инструмент за разузнаване.
TODDLERSHARK демонстрира характеристики на полиморфно поведение, проявяващо се чрез промени в идентификационни низове в неговия код, изместване на позицията на кода чрез генериран нежелан код и използване на уникално генерирани командни и контролни (C2) URL адреси. Тези функции допринасят за потенциалното предизвикателство за откриване на този зловреден софтуер в определени среди.
Мерки, препоръчани от изследователи по киберсигурност срещу злонамерения софтуер TODDLESHARK
За да подобрите сигурността на системите, работещи с ConnectWise ScreenConnect версии 23.9.7 и по-ранни, незабавните действия са от съществено значение. Следването на насоките, посочени в съветите на ConnectWise, е от решаващо значение за справяне с потенциални компромиси. Наложително е да се даде приоритет на защитата и наблюдението на системите, особено тези, достъпни в Интернет. Това може да бъде постигнато чрез внедряване на инструмент за откриване и реагиране на крайни точки (EDR) или инструмент против злонамерен софтуер, специално конфигуриран да извършва задълбочени сканирания на системата за уеб обвивки.
Освен това се препоръчва внедряване или конфигуриране на защитна стена за уеб приложения (WAF) или подобна система за наблюдение на уеб трафика. Тази мярка улеснява анализа в реално време, предлагайки подобрени възможности за откриване в случай на потенциална експлоатация, допринасяйки за по-стабилна и устойчива инфраструктура за сигурност.
