بدافزار TODDLESHARK
کارشناسان امنیت سایبری بدافزار جدیدی به نام TODDLERSHARK را شناسایی کردهاند که توسط عوامل تهدید کرهشمالی که از آسیبپذیریهای امنیتی اخیر در ConnectWise ScreenConnect استفاده کردهاند، استفاده کردهاند. یک گزارش نشان میدهد که TODDLERSHARK شباهتهایی با بدافزار Kimsuky قبلاً شناخته شده، از جمله BabyShark و ReconShark دارد.
بازیگران مرتبط با کلاهبرداری با سوء استفاده از آسیبپذیریهای موجود در برنامه ScreenConnect به ایستگاه کاری قربانی دسترسی پیدا کردند. با این دسترسی «صفحهکلید دستی»، آنها از cmd.exe برای اجرای mshta.exe استفاده کردند و یک URL مرتبط با بدافزار مبتنی بر ویژوال بیسیک (VB) را در خود جای داد.
آسیبپذیریهایی که در مرکز نگرانیهای امنیتی ConnectWise قرار دارند، CVE-2024-1708 و CVE-2024-1709 هستند. از زمانی که این آسیبپذیریها در معرض دید قرار گرفتند، چندین عامل تهدید به طور گسترده از آنها سوء استفاده کردند. این بازیگران بدخواه از این آسیبپذیریها برای توزیع طیفی از محمولههای ناامن، از جمله استخراجکنندگان ارزهای دیجیتال، باجافزار، تروجانهای RATS با دسترسی از راه دور و بدافزارهای دزد استفاده کردهاند.
فهرست مطالب
مجرمان سایبری کیمسوکی در میان فعال ترین ها هستند
گروه Kimsuky Advanced Persistent Threat (APT) که با نامهای مستعار مختلفی مانند APT43، ARCHIPELAGO، Black Banshee، Emerald Sleet (Tallium سابق)، KTA082، Nickel Kimball و Velvet Chollima شناخته میشود، به طور مداوم مجموعه ابزارهای بدافزار خود را گسترش داده است. از جدیدترین موارد اضافه شده می توان به GoBear و Troll Stealer اشاره کرد.
BabyShark اولین بار در اواخر سال 2018 شناسایی شد و از طریق یک فایل HTML Application (HTA) راه اندازی شد. پس از اجرا، این بدافزار اسکریپت VB اطلاعات سیستم را استخراج کرده و به یک سرور Command-and-Control (C2) ارسال می کند. علاوه بر این، BabyShark پایداری را در سیستم ایجاد می کند و منتظر دستورالعمل های بیشتر از اپراتور است.
در ماه مه 2023، نوعی از BabyShark به نام ReconShark شناسایی شد. این از طریق ایمیلهای فیشینگ نیزهای، بهویژه افراد را هدف قرار میداد، که تکامل و سازگاری مداوم گروه APT در عملیات سایبری آنها را نشان میداد.
اعتقاد بر این است که بدافزار TODDLESHARK تکامل یافته تهدیدات قبلی کیمسوکی است
TODDLERSHARK آخرین نسخه از همان بدافزار در نظر گرفته میشود که هم از کد و هم از شباهتهای رفتاری مشهود است. جدا از استفاده از یک کار برنامه ریزی شده برای حفظ پایداری، این بدافزار برای ضبط و انتقال موثر اطلاعات حساس از میزبان های در معرض خطر طراحی شده است و به عنوان یک ابزار شناسایی ارزشمند عمل می کند.
TODDLERSHARK ویژگیهای رفتار چندشکلی را نشان میدهد که از طریق تغییرات در رشتههای هویت در کد خود، تغییر موقعیت کد از طریق کدهای ناخواسته تولید شده، و استفاده از URLهای Command and Control (C2) ایجاد شده منحصر به فرد، آشکار میشود. این ویژگیها به چالش بالقوه شناسایی این بدافزار در محیطهای خاص کمک میکنند.
اقدامات توصیه شده توسط محققان امنیت سایبری در برابر بدافزار TODDLESHARK
برای افزایش امنیت سیستمهایی که ConnectWise ScreenConnect نسخههای 23.9.7 و قدیمیتر را اجرا میکنند، اقدام فوری ضروری است. پیروی از دستورالعمل های ذکر شده در مشاوره ConnectWise برای رسیدگی به سازش های احتمالی بسیار مهم است. اولویت بندی حفاظت و نظارت بر سیستم ها، به ویژه آنهایی که در اینترنت قابل دسترسی هستند، ضروری است. این را می توان با استقرار یک ابزار تشخیص و پاسخ نقطه پایانی (EDR) یا ابزار ضد بدافزار که به طور خاص برای انجام اسکن سیستم کامل برای پوسته های وب پیکربندی شده است، به دست آورد.
علاوه بر این، پیاده سازی یا پیکربندی یک فایروال برنامه کاربردی وب (WAF) یا یک سیستم نظارت بر ترافیک وب مشابه توصیه می شود. این اقدام تجزیه و تحلیل بلادرنگ را تسهیل میکند و قابلیتهای تشخیص پیشرفتهتری را در صورت بهرهبرداری بالقوه ارائه میدهد و به زیرساخت امنیتی قویتر و انعطافپذیر کمک میکند.