TODDLESHARKMalware
Gli esperti di sicurezza informatica hanno identificato un nuovo malware denominato TODDLERSHARK, distribuito da autori di minacce nordcoreani che hanno approfittato delle vulnerabilità di sicurezza recentemente rivelate in ConnectWise ScreenConnect. Un rapporto indica che TODDLERSHARK condivide somiglianze con il malware Kimsuky precedentemente noto, tra cui BabyShark e ReconShark.
Gli autori della frode sono riusciti ad accedere alla postazione di lavoro della vittima sfruttando le vulnerabilità presenti nella procedura guidata di configurazione dell'applicazione ScreenConnect. Con questo accesso tramite tastiera, hanno utilizzato cmd.exe per eseguire mshta.exe, incorporando un URL collegato al malware basato su Visual Basic (VB).
Le vulnerabilità al centro delle preoccupazioni sulla sicurezza di ConnectWise sono CVE-2024-1708 e CVE-2024-1709. Da quando queste vulnerabilità sono state scoperte, diversi autori di minacce le hanno ampiamente sfruttate. Questi attori malevoli hanno utilizzato le vulnerabilità per distribuire una serie di payload non sicuri, tra cui minatori di criptovaluta, ransomware, trojan di accesso remoto RATS) e malware stealer.
Sommario
I criminali informatici Kimsuky sono tra i più attivi
Il gruppo Kimsuky Advanced Persistent Threat (APT), riconosciuto con vari alias come APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (ex Thallium), KTA082, Nickel Kimball e Velvet Chollima, ha costantemente ampliato il proprio repertorio di strumenti malware. Tra le ultime aggiunte ci sono GoBear e Troll Stealer.
Identificato per la prima volta alla fine del 2018, BabyShark è stato avviato tramite un file HTML Application (HTA). Al momento dell'esecuzione, questo malware con script VB estrae le informazioni di sistema e le invia a un server Command-and-Control (C2). Inoltre, BabyShark stabilisce la persistenza sul sistema, in attesa di ulteriori istruzioni da parte dell'operatore.
Nel maggio 2023 è stata rilevata una variante di BabyShark, denominata ReconShark. È stato inviato tramite e-mail di spear phishing, mirate specificamente a singoli individui, mostrando la continua evoluzione e l'adattabilità del gruppo APT nelle loro operazioni informatiche.
Si ritiene che il malware TODDLESHARK sia un'evoluzione delle precedenti minacce Kimsuki
TODDLERSARK è considerato l'ultima iterazione dello stesso malware, evidente sia dal codice che dalle somiglianze comportamentali. Oltre a utilizzare un'attività pianificata per mantenere la persistenza, il malware è progettato per acquisire e trasmettere in modo efficace informazioni sensibili da host compromessi, fungendo da prezioso strumento di ricognizione.
TODDLERSHARK dimostra caratteristiche di comportamento polimorfico, manifestate attraverso alterazioni nelle stringhe di identità all'interno del suo codice, spostando la posizione del codice attraverso codice spazzatura generato e utilizzando URL di comando e controllo (C2) generati in modo univoco. Queste funzionalità contribuiscono alla potenziale sfida di rilevare questo malware in determinati ambienti.
Misure consigliate dai ricercatori di sicurezza informatica contro il malware TODDLESHARK
Per migliorare la sicurezza dei sistemi che eseguono ConnectWise ScreenConnect versione 23.9.7 e precedenti, è essenziale un'azione immediata. Seguire le linee guida delineate nell'avviso ConnectWise è fondamentale per affrontare potenziali compromessi. È imperativo dare priorità alla protezione e al monitoraggio dei sistemi, in particolare di quelli accessibili su Internet. Ciò può essere ottenuto distribuendo uno strumento EDR (Endpoint Detection and Response) o uno strumento anti-malware specificamente configurato per condurre scansioni approfondite del sistema per le webshell.
Inoltre, si consiglia l'implementazione o la configurazione di un Web Application Firewall (WAF) o di un sistema di monitoraggio del traffico web comparabile. Questa misura facilita l’analisi in tempo reale, offrendo capacità di rilevamento migliorate in caso di potenziale sfruttamento, contribuendo a un’infrastruttura di sicurezza più solida e resiliente.
