بدافزار TODDLESHARK

کارشناسان امنیت سایبری بدافزار جدیدی به نام TODDLERSHARK را شناسایی کرده‌اند که توسط عوامل تهدید کره‌شمالی که از آسیب‌پذیری‌های امنیتی اخیر در ConnectWise ScreenConnect استفاده کرده‌اند، استفاده کرده‌اند. یک گزارش نشان می‌دهد که TODDLERSHARK شباهت‌هایی با بدافزار Kimsuky قبلاً شناخته شده، از جمله BabyShark و ReconShark دارد.

بازیگران مرتبط با کلاهبرداری با سوء استفاده از آسیب‌پذیری‌های موجود در برنامه ScreenConnect به ایستگاه کاری قربانی دسترسی پیدا کردند. با این دسترسی «صفحه‌کلید دستی»، آنها از cmd.exe برای اجرای mshta.exe استفاده کردند و یک URL مرتبط با بدافزار مبتنی بر ویژوال بیسیک (VB) را در خود جای داد.

آسیب‌پذیری‌هایی که در مرکز نگرانی‌های امنیتی ConnectWise قرار دارند، CVE-2024-1708 و CVE-2024-1709 هستند. از زمانی که این آسیب‌پذیری‌ها در معرض دید قرار گرفتند، چندین عامل تهدید به طور گسترده از آن‌ها سوء استفاده کردند. این بازیگران بدخواه از این آسیب‌پذیری‌ها برای توزیع طیفی از محموله‌های ناامن، از جمله استخراج‌کنندگان ارزهای دیجیتال، باج‌افزار، تروجان‌های RATS با دسترسی از راه دور و بدافزارهای دزد استفاده کرده‌اند.

مجرمان سایبری کیمسوکی در میان فعال ترین ها هستند

گروه Kimsuky Advanced Persistent Threat (APT) که با نام‌های مستعار مختلفی مانند APT43، ARCHIPELAGO، Black Banshee، Emerald Sleet (Tallium سابق)، KTA082، Nickel Kimball و Velvet Chollima شناخته می‌شود، به طور مداوم مجموعه ابزارهای بدافزار خود را گسترش داده است. از جدیدترین موارد اضافه شده می توان به GoBear و Troll Stealer اشاره کرد.

BabyShark اولین بار در اواخر سال 2018 شناسایی شد و از طریق یک فایل HTML Application (HTA) راه اندازی شد. پس از اجرا، این بدافزار اسکریپت VB اطلاعات سیستم را استخراج کرده و به یک سرور Command-and-Control (C2) ارسال می کند. علاوه بر این، BabyShark پایداری را در سیستم ایجاد می کند و منتظر دستورالعمل های بیشتر از اپراتور است.

در ماه مه 2023، نوعی از BabyShark به نام ReconShark شناسایی شد. این از طریق ایمیل‌های فیشینگ نیزه‌ای، به‌ویژه افراد را هدف قرار می‌داد، که تکامل و سازگاری مداوم گروه APT در عملیات سایبری آن‌ها را نشان می‌داد.

اعتقاد بر این است که بدافزار TODDLESHARK تکامل یافته تهدیدات قبلی کیمسوکی است

TODDLERSHARK آخرین نسخه از همان بدافزار در نظر گرفته می‌شود که هم از کد و هم از شباهت‌های رفتاری مشهود است. جدا از استفاده از یک کار برنامه ریزی شده برای حفظ پایداری، این بدافزار برای ضبط و انتقال موثر اطلاعات حساس از میزبان های در معرض خطر طراحی شده است و به عنوان یک ابزار شناسایی ارزشمند عمل می کند.

TODDLERSHARK ویژگی‌های رفتار چندشکلی را نشان می‌دهد که از طریق تغییرات در رشته‌های هویت در کد خود، تغییر موقعیت کد از طریق کدهای ناخواسته تولید شده، و استفاده از URLهای Command and Control (C2) ایجاد شده منحصر به فرد، آشکار می‌شود. این ویژگی‌ها به چالش بالقوه شناسایی این بدافزار در محیط‌های خاص کمک می‌کنند.

اقدامات توصیه شده توسط محققان امنیت سایبری در برابر بدافزار TODDLESHARK

برای افزایش امنیت سیستم‌هایی که ConnectWise ScreenConnect نسخه‌های 23.9.7 و قدیمی‌تر را اجرا می‌کنند، اقدام فوری ضروری است. پیروی از دستورالعمل های ذکر شده در مشاوره ConnectWise برای رسیدگی به سازش های احتمالی بسیار مهم است. اولویت بندی حفاظت و نظارت بر سیستم ها، به ویژه آنهایی که در اینترنت قابل دسترسی هستند، ضروری است. این را می توان با استقرار یک ابزار تشخیص و پاسخ نقطه پایانی (EDR) یا ابزار ضد بدافزار که به طور خاص برای انجام اسکن سیستم کامل برای پوسته های وب پیکربندی شده است، به دست آورد.

علاوه بر این، پیاده سازی یا پیکربندی یک فایروال برنامه کاربردی وب (WAF) یا یک سیستم نظارت بر ترافیک وب مشابه توصیه می شود. این اقدام تجزیه و تحلیل بلادرنگ را تسهیل می‌کند و قابلیت‌های تشخیص پیشرفته‌تری را در صورت بهره‌برداری بالقوه ارائه می‌دهد و به زیرساخت امنیتی قوی‌تر و انعطاف‌پذیر کمک می‌کند.