TODDLESHARK Pahavara
Küberturvalisuse eksperdid on tuvastanud uue pahavara nimega TODDLERSHARK, mille juurutasid Põhja-Korea ohus osalejad, kes kasutasid ära hiljuti paljastatud ConnectWise ScreenConnecti turvaauke. Aruanne näitab, et TODDLERSHARKil on sarnasusi varem tuntud Kimsuky pahavaraga, sealhulgas BabyShark ja ReconShark.
Pettusega seotud osalejad pääsesid ohvri tööjaamale, kasutades ära ScreenConnecti rakenduse häälestusviisardi turvaauke. Selle praktilise klaviatuuri juurdepääsuga kasutasid nad mshta.exe käivitamiseks faili cmd.exe, mis sisaldas Visual Basicu (VB) põhise pahavaraga lingitud URL-i.
ConnectWise'i turvaprobleemide keskmes olevad haavatavused on CVE-2024-1708 ja CVE-2024-1709. Pärast nende haavatavuste paljastamist on paljud ohus osalejad neid laialdaselt ära kasutanud. Need pahatahtlikud osalejad on kasutanud haavatavusi, et levitada mitmesuguseid ohtlikke koormusi, sealhulgas krüptoraha kaevandajad, lunavara, kaugjuurdepääsuga troojalased RATS) ja varastatud pahavara.
Sisukord
Kimsuky küberkurjategijad on ühed kõige aktiivsemad
Kimsuky Advanced Persistent Threat (APT) rühm, mida tunnevad ära erinevad varjunimed, nagu APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (endine Tallium), KTA082, Nickel Kimball ja Velvet Chollima, on järjekindlalt laiendanud oma pahavara tööriistade repertuaari. Viimaste täienduste hulgas on GoBear ja Troll Stealer.
Esmakordselt tuvastati 2018. aasta lõpus, BabyShark käivitati HTML-rakenduse (HTA) faili kaudu. Täitmisel eraldab see VB-skripti pahavara süsteemiteabe ja saadab selle Command-and-Control (C2) serverisse. Lisaks tagab BabyShark süsteemi püsivuse, oodates operaatorilt täiendavaid juhiseid.
2023. aasta mais tuvastati BabySharki variant nimega ReconShark. See edastati andmepüügi e-kirjade kaudu, mis olid suunatud konkreetselt üksikisikutele, tutvustades APT grupi jätkuvat arengut ja kohanemisvõimet nende kübertegevuses.
Arvatakse, et TODDLESHARK-i pahavara on varasemate Kimsuki ohtude evolutsioon
TODDLERSHARKi peetakse sama pahavara uusimaks iteratsiooniks, mis ilmneb nii koodi kui ka käitumise sarnasustest. Lisaks ajastatud ülesande kasutamisele püsivuse säilitamiseks on pahavara loodud tundliku teabe tõhusaks püüdmiseks ja edastamiseks ohustatud hostidelt, toimides väärtusliku luuretööriistana.
TODDLERSHARK demonstreerib polümorfse käitumise tunnuseid, mis väljenduvad koodis identiteedi stringide muutmises, koodi asukoha nihutamises genereeritud rämpskoodi kaudu ja unikaalselt genereeritud käsu- ja kontrolli (C2) URL-ide kasutamises. Need funktsioonid aitavad kaasa selle pahavara tuvastamise võimalikule väljakutsele teatud keskkondades.
Küberturvalisuse teadlaste soovitatud meetmed pahavara TODDLESHARK vastu
ConnectWise ScreenConnecti versiooni 23.9.7 ja varasemaid versioone kasutavate süsteemide turvalisuse suurendamiseks on oluline kohe tegutseda. ConnectWise'i nõuandes esitatud juhiste järgimine on võimalike kompromisside lahendamiseks ülioluline. Süsteemide, eriti Internetis juurdepääsetavate süsteemide kaitse ja jälgimine on hädavajalik. Seda saab saavutada lõpp-punkti tuvastamise ja reageerimise (EDR) või ründevaratõrje tööriista juurutamise teel, mis on spetsiaalselt konfigureeritud veebikestade põhjalikuks süsteemikontrolliks.
Lisaks on soovitatav rakendada või konfigureerida veebirakenduste tulemüür (WAF) või võrreldav veebiliikluse jälgimissüsteem. See meede hõlbustab reaalajas analüüsi, pakkudes potentsiaalse ärakasutamise korral täiustatud tuvastamisvõimalusi, aidates kaasa tugevama ja vastupidavama turvainfrastruktuuri loomisele.
