TODDLESHARK Malware

អ្នកជំនាញផ្នែកសុវត្ថិភាពតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណមេរោគថ្មីដែលមានឈ្មោះថា TODDLERSHARK ដែលត្រូវបានដាក់ពង្រាយដោយតួអង្គគំរាមកំហែងរបស់កូរ៉េខាងជើង ដែលបានទាញយកអត្ថប្រយោជន៍ពីភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពដែលបានបង្ហាញនាពេលថ្មីៗនេះនៅក្នុង ConnectWise ScreenConnect ។ របាយការណ៍មួយបង្ហាញថា TODDLERSHARK ចែករំលែកភាពស្រដៀងគ្នាជាមួយមេរោគ Kimsuky ដែលធ្លាប់ស្គាល់ពីមុន រួមទាំង BabyShark និង ReconShark ។

តួអង្គពាក់ព័ន្ធនឹងការក្លែងបន្លំបានចូលទៅកាន់ស្ថានីយការងាររបស់ជនរងគ្រោះដោយទាញយកភាពងាយរងគ្រោះនៅក្នុងអ្នកជំនួយការដំឡើងកម្មវិធី ScreenConnect ។ ជាមួយនឹងការចូលប្រើ 'ក្តារចុចដោយដៃ' នេះ ពួកគេបានប្រើប្រាស់ cmd.exe ដើម្បីប្រតិបត្តិ mshta.exe ដោយបញ្ចូល URL ដែលភ្ជាប់ទៅនឹងមេរោគដែលមានមូលដ្ឋានលើ Visual Basic (VB) ។

ភាពងាយរងគ្រោះនៅចំកណ្តាលនៃកង្វល់សុវត្ថិភាព ConnectWise គឺ CVE-2024-1708 និង CVE-2024-1709 ។ ដោយសារភាពងាយរងគ្រោះទាំងនេះត្រូវបានលាតត្រដាង តួអង្គគំរាមកំហែងជាច្រើនបានកេងប្រវ័ញ្ចពួកវាយ៉ាងទូលំទូលាយ។ តួអង្គអាក្រក់ទាំងនេះបានប្រើប្រាស់ភាពងាយរងគ្រោះដើម្បីចែកចាយបន្ទុកដែលមិនមានសុវត្ថិភាពជាច្រើន រួមទាំងអ្នករុករករូបិយប័ណ្ណឌីជីថល ransomware ការចូលប្រើពីចម្ងាយ Trojans RATS) និងមេរោគលួច។

Kimsuky Cybercriminals ស្ថិតក្នុងចំណោមក្រុមសកម្មបំផុត។

ក្រុម Kimsuky Advanced Persistent Threat (APT) ដែលត្រូវបានទទួលស្គាល់ដោយឈ្មោះក្លែងក្លាយជាច្រើនដូចជា APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (អតីត Thallium), KTA082, Nickel Kimball, និង Velvet Chollima បានពង្រីកជាបន្តបន្ទាប់នូវឧបករណ៍មេរោគ។ ក្នុងចំណោមការបន្ថែមចុងក្រោយបំផុតគឺ GoBear និង Troll Stealer ។

ត្រូវបានកំណត់អត្តសញ្ញាណជាលើកដំបូងនៅចុងឆ្នាំ 2018 BabyShark ត្រូវបានផ្តួចផ្តើមតាមរយៈឯកសារ HTML Application (HTA) ។ នៅពេលប្រតិបត្តិ មេរោគស្គ្រីប VB នេះទាញយកព័ត៌មានប្រព័ន្ធ ហើយបញ្ជូនវាទៅម៉ាស៊ីនមេ Command-and-Control (C2) ។ លើសពីនេះទៀត BabyShark បង្កើតការតស៊ូនៅលើប្រព័ន្ធដោយរង់ចាំការណែនាំបន្ថែមពីប្រតិបត្តិករ។

នៅក្នុងខែឧសភា ឆ្នាំ 2023 វ៉ារ្យ៉ង់របស់ BabyShark ដែលមានឈ្មោះថា ReconShark ត្រូវបានរកឃើញ។ វាត្រូវបានបញ្ជូនតាមរយៈអ៊ីម៉ែល spear-phishing ជាពិសេសផ្តោតលើបុគ្គល បង្ហាញពីការវិវត្តដែលកំពុងបន្តរបស់ក្រុម APT និងភាពប្រែប្រួលនៅក្នុងប្រតិបត្តិការអ៊ីនធឺណិតរបស់ពួកគេ។

មេរោគ TODDLESHARK ត្រូវបានគេជឿថាជាការវិវត្តន៍នៃការគំរាមកំហែង Kimsuki មុន

TODDLERSHARK ត្រូវ​បាន​គេ​ចាត់​ទុក​ថា​ជា​ការ​ធ្វើ​ឡើង​វិញ​ចុង​ក្រោយ​បំផុត​នៃ​មេរោគ​ដូចគ្នា​ដែល​បង្ហាញ​ឱ្យ​ឃើញ​ពី​ភាព​ស្រដៀង​គ្នា​រវាង​កូដ និង​អាកប្បកិរិយា។ ក្រៅពីការប្រើប្រាស់កិច្ចការដែលបានកំណត់ពេលសម្រាប់រក្សាភាពស្ថិតស្ថេរ មេរោគនេះត្រូវបានរចនាឡើងដើម្បីចាប់យក និងបញ្ជូនព័ត៌មានរសើបប្រកបដោយប្រសិទ្ធភាពពីម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល ដោយដំណើរការជាឧបករណ៍ឈ្លបយកការណ៍ដ៏មានតម្លៃ។

TODDLERSHARK បង្ហាញពីលក្ខណៈនៃអាកប្បកិរិយាពហុមរតក ដែលបង្ហាញតាមរយៈការផ្លាស់ប្តូរខ្សែអក្សរអត្តសញ្ញាណនៅក្នុងកូដរបស់វា ការផ្លាស់ប្តូរទីតាំងនៃកូដតាមរយៈកូដឥតបានការដែលបានបង្កើត និងប្រើប្រាស់ Command and Control (C2) URLs ដែលបានបង្កើតតែមួយគត់។ លក្ខណៈពិសេសទាំងនេះរួមចំណែកដល់បញ្ហាប្រឈមដែលអាចកើតមានក្នុងការរកឃើញមេរោគនេះនៅក្នុងបរិយាកាសជាក់លាក់។

វិធានការដែលត្រូវបានណែនាំដោយអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតប្រឆាំងនឹងមេរោគ TODDLESHARK Malware

ដើម្បីបង្កើនសុវត្ថិភាពនៃប្រព័ន្ធដែលដំណើរការ ConnectWise ScreenConnect កំណែ 23.9.7 និងមុននេះ សកម្មភាពភ្លាមៗគឺចាំបាច់ណាស់។ ការធ្វើតាមការណែនាំដែលមានចែងនៅក្នុងការណែនាំរបស់ ConnectWise គឺមានសារៈសំខាន់ណាស់ក្នុងការដោះស្រាយការសម្របសម្រួលដែលអាចកើតមាន។ វាជាការចាំបាច់ក្នុងការផ្តល់អាទិភាពដល់ការការពារ និងការត្រួតពិនិត្យប្រព័ន្ធ ជាពិសេសប្រព័ន្ធដែលអាចប្រើបាននៅលើអ៊ីនធឺណិត។ នេះអាចសម្រេចបានដោយការដាក់ពង្រាយការរកឃើញចំណុចបញ្ចប់ និងការឆ្លើយតប (EDR) ឬឧបករណ៍ប្រឆាំងមេរោគដែលបានកំណត់រចនាសម្ព័ន្ធជាពិសេសដើម្បីធ្វើការស្កេនប្រព័ន្ធហ្មត់ចត់សម្រាប់ webshells ។

លើសពីនេះទៀត ការអនុវត្ត ឬការកំណត់រចនាសម្ព័ន្ធនៃ Web Application Firewall (WAF) ឬប្រព័ន្ធត្រួតពិនិត្យចរាចរណ៍គេហទំព័រដែលអាចប្រៀបធៀបបានត្រូវបានណែនាំ។ វិធានការនេះជួយសម្រួលដល់ការវិភាគតាមពេលវេលាជាក់ស្តែង ដោយផ្តល់នូវការបង្កើនសមត្ថភាពរាវរកនៅក្នុងព្រឹត្តិការណ៍នៃការកេងប្រវ័ញ្ចសក្តានុពល រួមចំណែកដល់ហេដ្ឋារចនាសម្ព័ន្ធសន្តិសុខកាន់តែរឹងមាំ និងធន់។