Programari maliciós TODDLESHARK
Els experts en ciberseguretat han identificat un nou programari maliciós anomenat TODDLERSHARK, desplegat per actors d'amenaces de Corea del Nord que van aprofitar les vulnerabilitats de seguretat revelades recentment a ConnectWise ScreenConnect. Un informe indica que TODDLERSHARK comparteix similituds amb programari maliciós Kimsuky conegut anteriorment, com BabyShark i ReconShark.
Els actors relacionats amb el frau van accedir a l'estació de treball de la víctima aprofitant les vulnerabilitats de l'assistent de configuració de l'aplicació ScreenConnect. Amb aquest accés de "teclat pràctic", van utilitzar cmd.exe per executar mshta.exe, incorporant un URL enllaçat al programari maliciós basat en Visual Basic (VB).
Les vulnerabilitats al centre de les preocupacions de seguretat de ConnectWise són CVE-2024-1708 i CVE-2024-1709. Des que aquestes vulnerabilitats van ser exposades, múltiples actors d'amenaça les han explotat àmpliament. Aquests actors malèvols han utilitzat les vulnerabilitats per distribuir una sèrie de càrregues útils insegures, com ara miners de criptomoneda, ransomware, troians d'accés remot RATS i programari maliciós robador.
Taula de continguts
Els cibercriminals de Kimsuky es troben entre els més actius
El grup Kimsuky Advanced Persistent Threat (APT), reconegut per diversos àlies com ara APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (abans Thallium), KTA082, Nickel Kimball i Velvet Chollima, ha ampliat constantment el seu repertori d'eines de programari maliciós. Entre les últimes incorporacions hi ha GoBear i Troll Stealer.
Identificat per primera vegada a finals de 2018, BabyShark es va iniciar mitjançant un fitxer d'aplicació HTML (HTA). Un cop s'executa, aquest programari maliciós d'script VB extreu informació del sistema i l'envia a un servidor d'ordres i control (C2). A més, BabyShark estableix la persistència en el sistema, a l'espera de més instruccions de l'operador.
El maig de 2023, es va detectar una variant de BabyShark, anomenada ReconShark. Es va lliurar a través de correus electrònics de pesca de pesca, dirigits específicament a persones, mostrant l'evolució i l'adaptabilitat contínua del grup APT en les seves operacions cibernètiques.
Es creu que el programari maliciós TODDLESHARK és una evolució de les amenaces anteriors de Kimsuki
TODDLERSHARK es considera l'última iteració del mateix programari maliciós, evident tant pel codi com per les semblances de comportament. A més d'utilitzar una tasca programada per mantenir la persistència, el programari maliciós està dissenyat per capturar i transmetre informació confidencial de manera eficaç dels amfitrions compromesos, funcionant com una valuosa eina de reconeixement.
TODDLERSHARK demostra les característiques del comportament polimòrfic, que es manifesta mitjançant alteracions en les cadenes d'identitat dins del seu codi, canviant la posició del codi a través del codi brossa generat i utilitzant URL de comandament i control (C2) generats de manera única. Aquestes característiques contribueixen al repte potencial de detectar aquest programari maliciós en determinats entorns.
Mesures recomanades pels investigadors de ciberseguretat contra el programari maliciós TODDLESHARK
Per millorar la seguretat dels sistemes que executen ConnectWise ScreenConnect versions 23.9.7 i anteriors, és essencial una acció immediata. Seguir les directrius descrites a l'avís de ConnectWise és crucial per abordar possibles compromisos. És imprescindible prioritzar la protecció i el seguiment dels sistemes, especialment els accessibles a Internet. Això es pot aconseguir mitjançant la implementació d'una eina de detecció i resposta de punts finals (EDR) o una eina anti-malware configurada específicament per dur a terme exploracions exhaustives del sistema per a shells web.
A més, es recomana la implementació o configuració d'un tallafoc d'aplicacions web (WAF) o d'un sistema de control de trànsit web comparable. Aquesta mesura facilita l'anàlisi en temps real, oferint capacitats de detecció millorades en cas d'explotació potencial, contribuint a una infraestructura de seguretat més robusta i resistent.
