TODDLESHARK κακόβουλο λογισμικό
Οι ειδικοί στον τομέα της κυβερνοασφάλειας εντόπισαν ένα νέο κακόβουλο λογισμικό που ονομάζεται TODDLERSHARK, το οποίο αναπτύχθηκε από Βορειοκορεάτες φορείς απειλών που εκμεταλλεύτηκαν τα τρωτά σημεία ασφαλείας που αποκαλύφθηκαν πρόσφατα στο ConnectWise ScreenConnect. Μια αναφορά δείχνει ότι το TODDLERSHARK μοιράζεται ομοιότητες με παλαιότερα γνωστό κακόβουλο λογισμικό Kimsuky, συμπεριλαμβανομένων των BabyShark και ReconShark.
Οι παράγοντες που σχετίζονται με απάτη είχαν πρόσβαση στο σταθμό εργασίας του θύματος εκμεταλλευόμενοι ευπάθειες στον οδηγό εγκατάστασης της εφαρμογής ScreenConnect. Με αυτήν την πρόσβαση «hands-on πληκτρολόγιο», χρησιμοποίησαν το cmd.exe για την εκτέλεση του mshta.exe, ενσωματώνοντας μια διεύθυνση URL συνδεδεμένη με το κακόβουλο λογισμικό που βασίζεται στη Visual Basic (VB).
Τα τρωτά σημεία στο επίκεντρο των ανησυχιών ασφαλείας του ConnectWise είναι τα CVE-2024-1708 και CVE-2024-1709. Από τη στιγμή που αυτά τα τρωτά σημεία αποκαλύφθηκαν, πολλοί παράγοντες απειλών τα εκμεταλλεύτηκαν εκτενώς. Αυτοί οι κακόβουλοι ηθοποιοί έχουν χρησιμοποιήσει τα τρωτά σημεία για να διανείμουν μια σειρά από μη ασφαλή ωφέλιμα φορτία, συμπεριλαμβανομένων των εξορύξεων κρυπτονομισμάτων, ransomware, Remote Access Trojans RATS) και κακόβουλου λογισμικού κλοπής.
Πίνακας περιεχομένων
Οι κυβερνοεγκληματίες Kimsuky είναι από τους πιο ενεργούς
Η ομάδα Kimsuky Advanced Persistent Threat (APT), που αναγνωρίζεται από διάφορα ψευδώνυμα όπως APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (πρώην Thallium), KTA082, Nickel Kimball και Velvet Chollima, έχει επεκτείνει συνεχώς το ρεπερτόριό της για κακόβουλο λογισμικό. Μεταξύ των πιο πρόσφατων προσθηκών είναι το GoBear και το Troll Stealer.
Εντοπίστηκε για πρώτη φορά στα τέλη του 2018, το BabyShark ξεκίνησε μέσω ενός αρχείου εφαρμογής HTML (HTA). Κατά την εκτέλεση, αυτό το κακόβουλο λογισμικό σεναρίου VB εξάγει πληροφορίες συστήματος και τις στέλνει σε έναν διακομιστή Command-and-Control (C2). Επιπλέον, το BabyShark εδραιώνει την επιμονή στο σύστημα, αναμένοντας περαιτέρω οδηγίες από τον χειριστή.
Τον Μάιο του 2023, εντοπίστηκε μια παραλλαγή του BabyShark, με το όνομα ReconShark. Παραδόθηκε μέσω ηλεκτρονικών μηνυμάτων ηλεκτρονικού "ψαρέματος" (spear-phishing), στοχεύοντας συγκεκριμένα άτομα, παρουσιάζοντας τη συνεχή εξέλιξη και την προσαρμοστικότητα της ομάδας APT στις δραστηριότητές της στον κυβερνοχώρο.
Το κακόβουλο λογισμικό TODDLESHARK πιστεύεται ότι είναι μια εξέλιξη των προηγούμενων απειλών Kimsuki
Το TODDLERSHARK θεωρείται η πιο πρόσφατη επανάληψη του ίδιου κακόβουλου λογισμικού, που φαίνεται τόσο από ομοιότητες κώδικα όσο και από συμπεριφορικές ομοιότητες. Εκτός από τη χρήση μιας προγραμματισμένης εργασίας για τη διατήρηση της επιμονής, το κακόβουλο λογισμικό έχει σχεδιαστεί για να συλλαμβάνει και να μεταδίδει αποτελεσματικά ευαίσθητες πληροφορίες από παραβιασμένους κεντρικούς υπολογιστές, λειτουργώντας ως πολύτιμο εργαλείο αναγνώρισης.
Το TODDLERSHARK επιδεικνύει χαρακτηριστικά πολυμορφικής συμπεριφοράς, που εκδηλώνονται μέσω αλλαγών σε συμβολοσειρές ταυτότητας εντός του κώδικά του, μετατοπίζοντας τη θέση του κώδικα μέσω του παραγόμενου ανεπιθύμητου κώδικα και χρησιμοποιώντας διευθύνσεις URL εντολών και ελέγχου (C2) που δημιουργούνται μοναδικά. Αυτές οι δυνατότητες συμβάλλουν στην πιθανή πρόκληση του εντοπισμού αυτού του κακόβουλου λογισμικού σε ορισμένα περιβάλλοντα.
Μέτρα που συνιστώνται από ερευνητές κυβερνοασφάλειας κατά του κακόβουλου λογισμικού TODDLESHARK
Για να ενισχυθεί η ασφάλεια των συστημάτων που εκτελούν το ConnectWise ScreenConnect εκδόσεις 23.9.7 και παλαιότερες, είναι απαραίτητη η άμεση δράση. Η τήρηση των κατευθυντήριων γραμμών που περιγράφονται στη συμβουλή του ConnectWise είναι ζωτικής σημασίας για την αντιμετώπιση πιθανών συμβιβασμών. Είναι επιτακτική ανάγκη να δοθεί προτεραιότητα στην προστασία και την παρακολούθηση των συστημάτων, ιδιαίτερα αυτών που είναι προσβάσιμα στο Διαδίκτυο. Αυτό μπορεί να επιτευχθεί με την ανάπτυξη ενός εργαλείου εντοπισμού και απόκρισης τελικού σημείου (EDR) ή κατά του κακόβουλου λογισμικού που έχει ρυθμιστεί ειδικά για τη διεξαγωγή ενδελεχών σαρώσεων συστήματος για κελύφη ιστού.
Επιπλέον, συνιστάται η υλοποίηση ή η διαμόρφωση ενός τείχους προστασίας εφαρμογών Web (WAF) ή ενός συγκρίσιμου συστήματος παρακολούθησης της κυκλοφορίας Ιστού. Αυτό το μέτρο διευκολύνει την ανάλυση σε πραγματικό χρόνο, προσφέροντας βελτιωμένες δυνατότητες ανίχνευσης σε περίπτωση πιθανής εκμετάλλευσης, συμβάλλοντας σε μια πιο εύρωστη και ανθεκτική υποδομή ασφαλείας.
