टोडलशार्क मैलवेयर

साइबर सुरक्षा विशेषज्ञों ने TODDLERSHARK नाम के एक नए मैलवेयर की पहचान की है, जिसे उत्तर कोरियाई खतरे वाले अभिनेताओं द्वारा तैनात किया गया था, जिन्होंने कनेक्टवाइज़ स्क्रीनकनेक्ट में हाल ही में सामने आई सुरक्षा कमजोरियों का फायदा उठाया था। एक रिपोर्ट से संकेत मिलता है कि TODDLERSHARK में बेबीशार्क और रिकॉनशार्क सहित पहले से ज्ञात किमसुकी मैलवेयर के साथ समानताएं हैं।

धोखाधड़ी से संबंधित अभिनेताओं ने स्क्रीनकनेक्ट एप्लिकेशन के सेटअप विज़ार्ड में कमजोरियों का फायदा उठाकर पीड़ित के कार्य केंद्र तक पहुंच बनाई। इस 'हैंड-ऑन कीबोर्ड' एक्सेस के साथ, उन्होंने mshta.exe को निष्पादित करने के लिए cmd.exe को नियोजित किया, जिसमें विज़ुअल बेसिक (VB) आधारित मैलवेयर से जुड़ा एक URL शामिल था।

कनेक्टवाइज़ सुरक्षा चिंताओं के केंद्र में कमजोरियाँ CVE-2024-1708 और CVE-2024-1709 हैं। जब से ये कमज़ोरियाँ उजागर हुईं, कई ख़तरनाक अभिनेताओं ने बड़े पैमाने पर उनका शोषण किया है। इन द्वेषपूर्ण अभिनेताओं ने असुरक्षित पेलोड की एक श्रृंखला को वितरित करने के लिए कमजोरियों का उपयोग किया है, जिसमें क्रिप्टोकरेंसी माइनर्स, रैंसमवेयर, रिमोट एक्सेस ट्रोजन आरएटीएस) और चोरी करने वाले मैलवेयर शामिल हैं।

किमसुकी साइबर अपराधी सबसे सक्रिय हैं

APT43, ARCHIPELAGO, ब्लैक बंशी, एमराल्ड स्लीट (पूर्व में थैलियम), KTA082, निकेल किमबॉल और वेलवेट चोलिमा जैसे विभिन्न उपनामों से पहचाने जाने वाले किमसुकी एडवांस्ड पर्सिस्टेंट थ्रेट (APT) समूह ने लगातार मैलवेयर टूल के अपने भंडार का विस्तार किया है। नवीनतम परिवर्धन में गोबियर और ट्रोल स्टीलर शामिल हैं।

पहली बार 2018 के अंत में पहचाना गया, बेबीशार्क को एक HTML एप्लिकेशन (HTA) फ़ाइल के माध्यम से शुरू किया गया था। निष्पादन पर, यह VB स्क्रिप्ट मैलवेयर सिस्टम जानकारी निकालता है और इसे कमांड-एंड-कंट्रोल (C2) सर्वर पर भेजता है। इसके अतिरिक्त, बेबीशार्क ऑपरेटर से आगे के निर्देशों की प्रतीक्षा करते हुए, सिस्टम पर दृढ़ता स्थापित करता है।

मई 2023 में, बेबीशार्क के एक संस्करण का पता चला, जिसका नाम रिकॉनशार्क था। इसे स्पीयर-फ़िशिंग ईमेल के माध्यम से वितरित किया गया था, विशेष रूप से व्यक्तियों को लक्षित करते हुए, एपीटी समूह के साइबर संचालन में चल रहे विकास और अनुकूलनशीलता को प्रदर्शित करते हुए।

माना जाता है कि टोडलशार्क मैलवेयर पिछले किमसुकी खतरों का विकास है

TODDLERSHARK को उसी मैलवेयर का नवीनतम पुनरावृत्ति माना जाता है, जो कोड और व्यवहारिक समानता दोनों से स्पष्ट है। दृढ़ता बनाए रखने के लिए एक निर्धारित कार्य का उपयोग करने के अलावा, मैलवेयर को एक मूल्यवान टोही उपकरण के रूप में कार्य करते हुए, समझौता किए गए होस्ट से संवेदनशील जानकारी को प्रभावी ढंग से पकड़ने और प्रसारित करने के लिए डिज़ाइन किया गया है।

टॉडलर्सहार्क बहुरूपी व्यवहार की विशेषताओं को प्रदर्शित करता है, जो इसके कोड के भीतर पहचान स्ट्रिंग में परिवर्तन के माध्यम से प्रकट होता है, उत्पन्न जंक कोड के माध्यम से कोड की स्थिति को बदलता है, और विशिष्ट रूप से उत्पन्न कमांड और कंट्रोल (सी 2) यूआरएल को नियोजित करता है। ये सुविधाएँ कुछ वातावरणों में इस मैलवेयर का पता लगाने की संभावित चुनौती में योगदान करती हैं।

टॉडलशार्क मैलवेयर के विरुद्ध साइबर सुरक्षा शोधकर्ताओं द्वारा अनुशंसित उपाय

कनेक्टवाइज़ स्क्रीनकनेक्ट संस्करण 23.9.7 और इससे पहले के संस्करण चलाने वाले सिस्टम की सुरक्षा बढ़ाने के लिए, तत्काल कार्रवाई आवश्यक है। संभावित समझौतों से निपटने के लिए कनेक्टवाइज़ एडवाइजरी में उल्लिखित दिशानिर्देशों का पालन करना महत्वपूर्ण है। सिस्टम की सुरक्षा और निगरानी को प्राथमिकता देना अनिवार्य है, विशेष रूप से इंटरनेट पर उपलब्ध सिस्टम की। इसे वेबशेल्स के लिए संपूर्ण सिस्टम स्कैन करने के लिए विशेष रूप से कॉन्फ़िगर किए गए एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (EDR) या एंटी-मैलवेयर टूल को तैनात करके प्राप्त किया जा सकता है।

इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (डब्ल्यूएएफ) या तुलनीय वेब ट्रैफ़िक निगरानी प्रणाली के कार्यान्वयन या कॉन्फ़िगरेशन की अनुशंसा की जाती है। यह उपाय वास्तविक समय विश्लेषण की सुविधा प्रदान करता है, संभावित शोषण की स्थिति में बढ़ी हुई पहचान क्षमताओं की पेशकश करता है, और अधिक मजबूत और लचीले सुरक्षा बुनियादी ढांचे में योगदान देता है।