TODDLESHARK Malware
Odborníci na kybernetickou bezpečnost identifikovali nový malware s názvem TODDLERSHARK, který nasadili severokorejští aktéři hrozeb, kteří využili nedávno odhalených bezpečnostních zranitelností v ConnectWise ScreenConnect. Zpráva uvádí, že TODDLERSHARK sdílí podobnosti s dříve známým malwarem Kimsuky, včetně BabyShark a ReconShark.
Aktéři související s podvody se dostali na pracovní stanici oběti zneužitím zranitelností v průvodci nastavením aplikace ScreenConnect. S tímto přístupem „praktické klávesnice“ použili cmd.exe ke spuštění mshta.exe, který obsahuje adresu URL spojenou s malwarem založeným na Visual Basic (VB).
Chyby zabezpečení v centru bezpečnostních obav ConnectWise jsou CVE-2024-1708 a CVE-2024-1709. Od té doby, co byly tyto zranitelnosti odhaleny, mnoho aktérů hrozeb je ve velké míře zneužilo. Tito zlovolní aktéři využili zranitelnosti k distribuci řady nebezpečných dat, včetně těžařů kryptoměn, ransomwaru, vzdálených přístupových trojských koní RATS) a zlodějského malwaru.
Obsah
Kyberzločinci Kimsuky patří mezi nejaktivnější
Skupina Kimsuky Advanced Persistent Threat (APT), známá pod různými aliasy jako APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (dříve Thallium), KTA082, Nickel Kimball a Velvet Chollima, neustále rozšiřuje svůj repertoár malwarových nástrojů. Mezi nejnovější přírůstky patří GoBear a Troll Stealer.
BabyShark, který byl poprvé identifikován na konci roku 2018, byl spuštěn prostřednictvím souboru HTML Application (HTA). Po spuštění tento malware skriptu VB extrahuje systémové informace a odešle je na server Command-and-Control (C2). Kromě toho BabyShark nastaví stálost v systému a čeká na další pokyny od operátora.
V květnu 2023 byla zjištěna varianta BabyShark s názvem ReconShark. Byl doručen prostřednictvím spear-phishingových e-mailů, konkrétně zaměřených na jednotlivce, ukazující pokračující vývoj a přizpůsobivost skupiny APT v jejich kybernetických operacích.
Má se za to, že malware TODDLESHARK je evolucí předchozích hrozeb Kimsuki
TODDLERSHARK je považován za nejnovější iteraci stejného malwaru, což je zřejmé z podobnosti kódu i chování. Kromě využití naplánované úlohy pro udržování perzistence je malware navržen tak, aby efektivně zachycoval a přenášel citlivé informace z kompromitovaných hostitelů a fungoval jako cenný průzkumný nástroj.
TODDLERSHARK demonstruje vlastnosti polymorfního chování, které se projevuje změnami v řetězcích identity v jeho kódu, posouváním pozice kódu prostřednictvím generovaného nevyžádaného kódu a používáním jedinečně generovaných adres URL příkazů a řízení (C2). Tyto funkce přispívají k potenciální výzvě detekce tohoto malwaru v určitých prostředích.
Opatření doporučená výzkumníky v oblasti kybernetické bezpečnosti proti malwaru TODDLESHARK
Pro zvýšení bezpečnosti systémů se systémem ConnectWise ScreenConnect verze 23.9.7 a starší je nezbytná okamžitá akce. Při řešení potenciálních kompromisů je zásadní dodržovat pokyny uvedené v doporučení ConnectWise. Je nezbytné upřednostnit ochranu a monitorování systémů, zejména těch, které jsou dostupné na internetu. Toho lze dosáhnout nasazením detekce a odezvy koncových bodů (EDR) nebo nástroje proti malwaru, který je speciálně konfigurován tak, aby prováděl důkladné systémové skenování webových skořápek.
Kromě toho se doporučuje implementace nebo konfigurace brány firewall webových aplikací (WAF) nebo srovnatelného systému monitorování webového provozu. Toto opatření usnadňuje analýzu v reálném čase a nabízí vylepšené detekční schopnosti v případě potenciálního zneužití, což přispívá k robustnější a odolnější bezpečnostní infrastruktuře.
