TODDLESHARK Haittaohjelma
Kyberturvallisuusasiantuntijat ovat tunnistaneet uuden TODDLERSHARK-nimisen haittaohjelman, jonka ovat ottaneet käyttöön Pohjois-Korean uhkatoimijat, jotka käyttivät hyväkseen ConnectWise ScreenConnectin äskettäin paljastettuja tietoturva-aukkoja. Raportin mukaan TODDLERSHARKilla on yhtäläisyyksiä aiemmin tunnettujen Kimsuky-haittaohjelmien kanssa, mukaan lukien BabyShark ja ReconShark.
Petoksiin liittyvät toimijat pääsivät uhrin työasemaan hyödyntämällä ScreenConnect-sovelluksen ohjatun asennustoiminnon haavoittuvuuksia. Tämän "käytännöllisen näppäimistön" avulla he käyttivät cmd.exe-tiedostoa suorittamaan mshta.exe-tiedostoa, joka sisälsi Visual Basic (VB) -pohjaiseen haittaohjelmistoon linkitetyn URL-osoitteen.
ConnectWisen tietoturvaongelmien keskeiset haavoittuvuudet ovat CVE-2024-1708 ja CVE-2024-1709. Sen jälkeen kun nämä haavoittuvuudet paljastettiin, useat uhkatoimijat ovat käyttäneet niitä laajasti hyväkseen. Nämä pahantahtoiset toimijat ovat hyödyntäneet haavoittuvuuksia jakaakseen useita vaarallisia hyötykuormia, mukaan lukien kryptovaluutan louhintaohjelmat, lunnasohjelmat, etäkäyttötroijalaiset RATS) ja varastavat haittaohjelmat.
Sisällysluettelo
Kimsukyn kyberrikolliset ovat aktiivisimpia
Kimsuky Advanced Persistent Threat (APT) -ryhmä, joka tunnetaan useista aliaksista, kuten APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (entinen Thallium), KTA082, Nickel Kimball ja Velvet Chollima, on jatkuvasti laajentanut haittaohjelmatyökalujensa valikoimaa. Uusimpia lisäyksiä ovat GoBear ja Troll Stealer.
Ensimmäistä kertaa vuoden 2018 lopulla tunnistettu BabyShark käynnistettiin HTML Application (HTA) -tiedoston kautta. Suorittaessaan tämä VB-skriptihaittaohjelma poimii järjestelmätiedot ja lähettää ne Command-and-Control (C2) -palvelimelle. Lisäksi BabyShark varmistaa järjestelmän pysyvyyden odottaen lisäohjeita operaattorilta.
Toukokuussa 2023 havaittiin BabySharkin muunnos nimeltä ReconShark. Se toimitettiin keihäs-phishing-sähköpostien kautta, joka oli kohdistettu erityisesti yksilöihin ja esitteli APT-ryhmän jatkuvaa kehitystä ja sopeutumiskykyä kybertoimintojensa osalta.
TODDLESHARK-haittaohjelman uskotaan olevan aiempien Kimsuki-uhkien kehitys
TODDLERSHARKia pidetään saman haittaohjelman uusimpana iteraationa, mikä käy ilmi sekä koodin että käyttäytymisen yhtäläisyyksistä. Sen lisäksi, että haittaohjelma käyttää ajoitettua tehtävää pysyvyyden ylläpitämiseen, se on suunniteltu tehokkaasti kaappaamaan ja välittämään arkaluontoisia tietoja vaarantuneista isännistä, mikä toimii arvokkaana tiedustelutyökaluna.
TODDLERSHARK esittelee polymorfisen käyttäytymisen ominaisuuksia, jotka ilmenevät koodin identiteettimerkkijonojen muutoksilla, koodin sijainnin vaihtamisella generoidun roskakoodin kautta ja yksilöllisesti luotujen komento- ja ohjaus (C2) URL-osoitteiden avulla. Nämä ominaisuudet myötävaikuttavat mahdolliseen haasteeseen havaita tämä haittaohjelma tietyissä ympäristöissä.
Kyberturvallisuustutkijoiden suosittelemat toimenpiteet TODDLESHARK-haittaohjelmia vastaan
ConnectWise ScreenConnectin versiota 23.9.7 tai sitä vanhempia käyttävien järjestelmien turvallisuuden parantamiseksi on välttämätöntä toimia välittömästi. ConnectWisen neuvonnassa esitettyjen ohjeiden noudattaminen on ratkaisevan tärkeää mahdollisten kompromissien ratkaisemiseksi. On ehdottoman tärkeää asettaa etusijalle järjestelmien, erityisesti Internetistä saatavilla olevien järjestelmien suojaus ja valvonta. Tämä voidaan saavuttaa ottamalla käyttöön päätepisteiden tunnistus- ja vastaustyökalu (EDR) tai haittaohjelmien torjuntatyökalu, joka on erityisesti määritetty suorittamaan perusteelliset järjestelmätarkistukset verkkokuorten varalta.
Lisäksi suositellaan WAF:n (Web Application Firewall) tai vastaavan verkkoliikenteen seurantajärjestelmän käyttöönottoa tai määritystä. Tämä toimenpide helpottaa reaaliaikaista analysointia ja tarjoaa paremmat tunnistusominaisuudet mahdollisen hyväksikäytön varalta, mikä edistää vankemman ja kestävämmän suojausinfrastruktuurin luomista.
