TODDLESHARK Malware
Cybersikkerhedseksperter har identificeret en ny malware ved navn TODDLERSHARK, implementeret af nordkoreanske trusselsaktører, som udnyttede nyligt afslørede sikkerhedssårbarheder i ConnectWise ScreenConnect. En rapport indikerer, at TODDLERSHARK deler ligheder med tidligere kendt Kimsuky malware, herunder BabyShark og ReconShark.
De svindelrelaterede aktører fik adgang til ofrets arbejdsstation ved at udnytte sårbarheder i ScreenConnect-applikationens opsætningsguide. Med denne 'praktiske tastatur'-adgang brugte de cmd.exe til at udføre mshta.exe, der inkorporerede en URL, der er knyttet til den Visual Basic (VB)-baserede malware.
Sårbarhederne i centrum af ConnectWise-sikkerhedsbekymringerne er CVE-2024-1708 og CVE-2024-1709. Siden disse sårbarheder blev afsløret, har flere trusselsaktører i vid udstrækning udnyttet dem. Disse ondsindede aktører har brugt sårbarhederne til at distribuere en række usikre nyttelaster, herunder cryptocurrency-minearbejdere, ransomware, Remote Access Trojans RATS) og tyveri-malware.
Indholdsfortegnelse
Kimsuky-cyberkriminelle er blandt de mest aktive
Kimsuky Advanced Persistent Threat (APT)-gruppen, anerkendt af forskellige aliaser såsom APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (tidligere Thallium), KTA082, Nickel Kimball og Velvet Chollima, har konsekvent udvidet sit repertoire af malware-værktøjer. Blandt de seneste tilføjelser er GoBear og Troll Stealer.
BabyShark blev først identificeret i slutningen af 2018 og blev startet gennem en HTML Application (HTA) fil. Ved udførelse udtrækker dette VB-script, malware systemoplysninger og sender dem til en Command-and-Control-server (C2). Derudover etablerer BabyShark vedholdenhed på systemet og afventer yderligere instruktioner fra operatøren.
I maj 2023 blev en variant af BabyShark, ved navn ReconShark, opdaget. Den blev leveret gennem spear-phishing-e-mails, specifikt rettet mod enkeltpersoner, og viste APT-gruppens løbende udvikling og tilpasningsevne i deres cyberoperationer.
TODDLESHARK-malwaren menes at være en udvikling af tidligere Kimsuki-trusler
TODDLERSHARK betragtes som den seneste iteration af den samme malware, tydeligt fra både kode og adfærdsmæssige ligheder. Bortset fra at bruge en planlagt opgave til at opretholde persistens, er malwaren designet til effektivt at fange og transmittere følsomme oplysninger fra kompromitterede værter, der fungerer som et værdifuldt rekognosceringsværktøj.
TODDLERSHARK demonstrerer karakteristika for polymorf adfærd, manifesteret gennem ændringer i identitetsstrenge i dens kode, ændring af kodes position gennem genereret uønsket kode og brug af unikt genererede Command and Control (C2) URL'er. Disse funktioner bidrager til den potentielle udfordring med at opdage denne malware i visse miljøer.
Foranstaltninger anbefalet af cybersikkerhedsforskere mod TODDLESHARK Malware
For at øge sikkerheden for systemer, der kører ConnectWise ScreenConnect version 23.9.7 og tidligere, er øjeblikkelig handling afgørende. At følge de retningslinjer, der er skitseret i ConnectWise-rådgivningen, er afgørende for at løse potentielle kompromiser. Det er bydende nødvendigt at prioritere beskyttelse og overvågning af systemer, især dem, der er tilgængelige på internettet. Dette kan opnås ved at implementere et endpoint detection and response (EDR) eller anti-malware-værktøj, der er specifikt konfigureret til at udføre grundige systemscanninger for webshells.
Derudover anbefales implementering eller konfiguration af en Web Application Firewall (WAF) eller et sammenligneligt webtrafikovervågningssystem. Denne foranstaltning letter realtidsanalyse og tilbyder forbedrede detektionsmuligheder i tilfælde af potentiel udnyttelse, hvilket bidrager til en mere robust og modstandsdygtig sikkerhedsinfrastruktur.
