TODDLESHARK Malware
A kiberbiztonsági szakértők egy új, TODDLERSHARK nevű rosszindulatú programot azonosítottak, amelyet észak-koreai fenyegetés szereplői telepítettek, akik kihasználták a ConnectWise ScreenConnect nemrégiben feltárt biztonsági réseit. Egy jelentés szerint a TODDLERSHARK hasonlóságokat mutat a korábban ismert Kimsuky kártevőkkel, köztük a BabySharkkal és a ReconSharkkal.
A csalással kapcsolatos szereplők a ScreenConnect alkalmazás telepítővarázslójának biztonsági réseit kihasználva jutottak hozzá az áldozat munkaállomásához. Ezzel a „gyakorlati billentyűzet” hozzáféréssel a cmd.exe fájlt használták az mshta.exe futtatására, amely tartalmazott egy URL-t, amely a Visual Basic (VB) alapú rosszindulatú programhoz kapcsolódik.
A ConnectWise biztonsági aggályai középpontjában a CVE-2024-1708 és a CVE-2024-1709 biztonsági rések állnak. Mióta feltárták ezeket a sebezhetőségeket, számos fenyegetés szereplője széles körben kihasználta őket. Ezek a rosszindulatú szereplők a sebezhetőségeket arra használták fel, hogy számos nem biztonságos rakományt terjeszthessenek, beleértve a kriptovaluta bányászokat, a zsarolóprogramokat, a Remote Access Trojans RATS-okat és a lopó rosszindulatú programokat.
Tartalomjegyzék
A Kimsuky kiberbűnözők a legaktívabbak közé tartoznak
A Kimsuky Advanced Persistent Threat (APT) csoport, amelyet különféle álnevek ismernek fel, mint például az APT43, az ARCHIPELAGO, a Black Banshee, az Emerald Sleet (korábban Thallium), a KTA082, a Nickel Kimball és a Velvet Chollima, következetesen bővítette kártevő-eszközök repertoárját. A legújabb kiegészítők közé tartozik a GoBear és a Troll Stealer.
Először 2018 végén azonosították a BabySharkot egy HTML Application (HTA) fájlon keresztül. Végrehajtáskor ez a rosszindulatú VB-szkript kibontja a rendszerinformációkat, és elküldi azokat egy Command-and-Control (C2) kiszolgálónak. Ezenkívül a BabyShark fenntartja a rendszert, és várja a további utasításokat a kezelőtől.
2023 májusában észlelték a BabyShark ReconShark nevű változatát. Adathalász e-maileken keresztül érkezett, kifejezetten egyéneket célozva, bemutatva az APT csoport folyamatos fejlődését és alkalmazkodóképességét a kiberműveletekben.
A TODDLESHARK rosszindulatú programról azt tartják, hogy a korábbi Kimsuki-fenyegetések evolúciója
A TODDLERSHARK ugyanannak a rosszindulatú programnak a legújabb iterációja, ami a kódból és a viselkedési hasonlóságokból is kitűnik. Amellett, hogy ütemezett feladatot használ a kitartás fenntartására, a kártevőt úgy tervezték, hogy hatékonyan rögzítse és továbbítsa a feltört gazdagépektől származó bizalmas információkat, értékes felderítő eszközként funkcionálva.
A TODDLERSHARK a polimorf viselkedés jellemzőit mutatja be, amelyek a kódon belüli azonosító karakterláncok megváltoztatásán, a kód pozíciójának eltolódásán keresztül generált kéretlen kódon keresztül, valamint egyedileg generált Command and Control (C2) URL-ek használatával nyilvánulnak meg. Ezek a funkciók hozzájárulnak a rosszindulatú program észlelésének potenciális kihívásához bizonyos környezetekben.
A kiberbiztonsági kutatók által javasolt intézkedések a TODDLESHARK rosszindulatú program ellen
A ConnectWise ScreenConnect 23.9.7-es és korábbi verzióit futtató rendszerek biztonságának fokozása érdekében azonnali cselekvésre van szükség. A ConnectWise tanácsában felvázolt irányelvek követése alapvető fontosságú a lehetséges kompromisszumok kezeléséhez. Feltétlenül fontos prioritásként kezelni a rendszerek, különösen az interneten elérhető rendszerek védelmét és felügyeletét. Ez egy végpont-észlelés és válasz (EDR) vagy kártevőirtó eszköz telepítésével érhető el, amely kifejezetten a webshell-ek alapos rendszerellenőrzésére van konfigurálva.
Ezenkívül ajánlott egy webalkalmazási tűzfal (WAF) vagy egy hasonló webes forgalomfigyelő rendszer megvalósítása vagy konfigurálása. Ez az intézkedés megkönnyíti a valós idejű elemzést, javított észlelési képességeket kínálva potenciális kizsákmányolás esetén, hozzájárulva egy robusztusabb és rugalmasabb biztonsági infrastruktúra kialakításához.
