TODDLESHARK Malware
Stručnjaci za kibernetičku sigurnost identificirali su novi malware pod nazivom TODDLERSHARK, koji su postavili sjevernokorejski akteri prijetnji koji su iskoristili nedavno otkrivene sigurnosne propuste u ConnectWise ScreenConnectu. Izvješće pokazuje da TODDLERSHARK ima sličnosti s ranije poznatim zlonamjernim softverom Kimsuky, uključujući BabyShark i ReconShark.
Akteri povezani s prijevarom pristupili su radnoj stanici žrtve iskorištavanjem ranjivosti u čarobnjaku za postavljanje aplikacije ScreenConnect. S ovim 'praktičnim pristupom tipkovnici', koristili su cmd.exe da izvrše mshta.exe, uključujući URL povezan sa zlonamjernim softverom koji se temelji na Visual Basicu (VB).
Ranjivosti u središtu sigurnosnih problema ConnectWisea su CVE-2024-1708 i CVE-2024-1709. Otkako su te ranjivosti otkrivene, više aktera prijetnji ih je intenzivno iskorištavalo. Ovi zlonamjerni akteri iskoristili su ranjivosti za distribuciju niza nesigurnih korisnih sadržaja, uključujući rudare kriptovaluta, ransomware, trojance s daljinskim pristupom RATS) i kradljivi zlonamjerni softver.
Sadržaj
Kimsuky kibernetički kriminalci su među najaktivnijima
Grupa Kimsuky Advanced Persistent Threat (APT), prepoznata po različitim aliasima kao što su APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (bivši Thallium), KTA082, Nickel Kimball i Velvet Chollima, dosljedno je proširila svoj repertoar zlonamjernih alata. Među najnovijim dodacima su GoBear i Troll Stealer.
Prvi put identificiran krajem 2018., BabyShark je pokrenut putem datoteke HTML aplikacije (HTA). Nakon izvršenja, ovaj zlonamjerni softver VB skripte izvlači informacije o sustavu i šalje ih Command-and-Control (C2) poslužitelju. Dodatno, BabyShark uspostavlja postojanost na sustavu, čekajući daljnje upute operatera.
U svibnju 2023. otkrivena je varijanta BabySharka, nazvana ReconShark. Dostavljen je putem e-poruka za krađu identiteta, posebno usmjerenih na pojedince, pokazujući stalnu evoluciju i prilagodljivost APT grupe u njihovim cyber operacijama.
Vjeruje se da je zlonamjerni softver TODDLESHARK evolucija prethodnih Kimsuki prijetnji
TODDLERSHARK se smatra najnovijom iteracijom istog zlonamjernog softvera, što je vidljivo iz sličnosti koda i ponašanja. Osim korištenja planiranog zadatka za održavanje postojanosti, zlonamjerni je softver dizajniran za učinkovito hvatanje i prijenos osjetljivih informacija s kompromitiranih hostova, funkcionirajući kao vrijedan alat za izviđanje.
TODDLERSHARK pokazuje karakteristike polimorfnog ponašanja, koje se očituje kroz izmjene nizova identiteta unutar njegovog koda, pomicanjem položaja koda kroz generirani neželjeni kod i korištenjem jedinstveno generiranih URL-ova za naredbe i kontrolu (C2). Ove značajke pridonose potencijalnom izazovu otkrivanja ovog zlonamjernog softvera u određenim okruženjima.
Mjere koje preporučuju istraživači kibernetičke sigurnosti protiv zlonamjernog softvera TODDLESHARK
Kako bi se poboljšala sigurnost sustava koji koriste ConnectWise ScreenConnect verzije 23.9.7 i starije, neophodna je hitna akcija. Slijeđenje smjernica navedenih u savjetovanju ConnectWise ključno je za rješavanje mogućih kompromisa. Imperativ je dati prioritet zaštiti i nadzoru sustava, posebice onih dostupnih na internetu. To se može postići uvođenjem detekcije i odgovora krajnje točke (EDR) ili alata protiv zlonamjernog softvera posebno konfiguriranog za provođenje temeljitog skeniranja sustava za web-ljuske.
Dodatno, preporučuje se implementacija ili konfiguracija Vatrozida za web aplikacije (WAF) ili usporedivog sustava za nadzor web prometa. Ova mjera olakšava analizu u stvarnom vremenu, nudeći poboljšane mogućnosti otkrivanja u slučaju mogućeg iskorištavanja, pridonoseći robusnijoj i otpornijoj sigurnosnoj infrastrukturi.
