תוכנה זדונית של TODDLESHARK
מומחי אבטחת סייבר זיהו תוכנה זדונית חדשה בשם TODDLERSHARK, שנפרסה על ידי גורמי איומים צפון קוריאנים שניצלו פרצות אבטחה שנחשפו לאחרונה ב-ConnectWise ScreenConnect. דוח מצביע על כך ש-TODDLERSHARK חולק קווי דמיון עם תוכנות זדוניות ידועות בעבר של Kimsuky, כולל BabyShark ו-ReconShark.
השחקנים הקשורים להונאה ניגשו לתחנת העבודה של הקורבן על ידי ניצול נקודות תורפה באשף ההתקנה של אפליקציית ScreenConnect. עם גישת 'מקלדת מעשית' זו, הם השתמשו ב-cmd.exe כדי להפעיל את mshta.exe, תוך שילוב כתובת URL המקושרת לתוכנה זדונית מבוססת Visual Basic (VB).
הפגיעויות העומדות במרכז חששות האבטחה של ConnectWise הן CVE-2024-1708 ו-CVE-2024-1709. מאז שנחשפו פגיעות אלו, ניצלו אותן רבות גורמי איומים רבים. שחקנים זדוניים אלה ניצלו את הפגיעויות כדי להפיץ מגוון של מטענים לא בטוחים, כולל כורי מטבעות קריפטוגרפיים, תוכנות כופר, RATS של סוסים טרויאניים לגישה מרחוק) ותוכנות זדוניות גניבות.
תוכן העניינים
פושעי הסייבר של Kimsuky הם בין הפעילים ביותר
קבוצת Kimsuky Advanced Persistent Threat (APT), המוכרת על ידי כינויים שונים כגון APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (לשעבר Thallium), KTA082, Nickel Kimball ו-Velvet Chollima, הרחיבה בעקביות את רפרטואר הכלים של תוכנות זדוניות שלה. בין התוספות האחרונות ניתן למצוא את GoBear ו- Troll Stealer.
זוהה לראשונה בסוף 2018, BabyShark הופעל באמצעות קובץ HTML Application (HTA). לאחר הביצוע, תוכנה זדונית זו של סקריפט VB מחלצת מידע מערכת ושולחת אותו לשרת Command-and-Control (C2). בנוסף, BabyShark מייצרת התמדה במערכת, ממתינה להנחיות נוספות מהמפעיל.
במאי 2023 זוהתה גרסה של BabyShark, בשם ReconShark. הוא נמסר באמצעות דוא"ל דיוג בחנית, המיקוד ספציפית ליחידים, תוך הצגת ההתפתחות המתמשכת של קבוצת APT ויכולת ההסתגלות בפעולות הסייבר שלה.
מאמינים שהתוכנה הזדונית של TODDLESHARK היא אבולוציה של איומי Kimsuki קודמים
TODDLERSHARK נחשבת לאיטרציה האחרונה של אותה תוכנה זדונית, הניכרת הן מקוד והן מדמיון התנהגותי. מלבד ניצול משימה מתוזמנת לשמירה על התמדה, התוכנה הזדונית נועדה ללכוד ולהעביר מידע רגיש ביעילות ממארחים שנפגעו, ומתפקדת ככלי סיור בעל ערך.
TODDLERSHARK מדגים מאפיינים של התנהגות פולימורפית, המתבטאת באמצעות שינויים במחרוזות הזהות בתוך הקוד שלו, העברת מיקום הקוד באמצעות קוד זבל שנוצר, ושימוש בכתובות URL של Command and Control (C2) שנוצרו באופן ייחודי. תכונות אלו תורמות לאתגר הפוטנציאלי של זיהוי תוכנה זדונית זו בסביבות מסוימות.
אמצעים שהומלצו על ידי חוקרי אבטחת סייבר נגד תוכנת זדונית TODDLESHARK
כדי לשפר את האבטחה של מערכות המריצות ConnectWise ScreenConnect גרסאות 23.9.7 ואילך, פעולה מיידית חיונית. הקפדה על ההנחיות המפורטות בייעוץ של ConnectWise היא חיונית כדי לטפל בפשרות פוטנציאליות. הכרחי לתת עדיפות להגנה ולניטור של מערכות, במיוחד אלו הנגישות באינטרנט. ניתן להשיג זאת על ידי פריסת כלי זיהוי ותגובה של נקודות קצה (EDR) או כלי נגד תוכנות זדוניות שהוגדרו במיוחד לביצוע סריקות מערכת יסודיות עבור webshells.
בנוסף, מומלץ להטמיע או להגדיר חומת אש של יישומי אינטרנט (WAF) או מערכת דומה לניטור תעבורת אינטרנט. אמצעי זה מקל על ניתוח בזמן אמת, ומציע יכולות זיהוי משופרות במקרה של ניצול פוטנציאלי, תורם לתשתית אבטחה חזקה וגמישה יותר.
