TODDLESHARK 악성코드

사이버 보안 전문가들은 최근 ConnectWise ScreenConnect에서 밝혀진 보안 취약점을 이용하여 북한 위협 행위자들이 배포한 TODDLERSHARK라는 새로운 악성 코드를 식별했습니다. 보고서에 따르면 TODDLERSHARK는 BabyShark 및 ReconShark를 포함하여 이전에 알려진 Kimsuky 악성 코드와 유사점을 공유합니다.

사기 관련 행위자는 ScreenConnect 애플리케이션 설정 마법사의 취약점을 악용하여 피해자의 워크스테이션에 액세스했습니다. 이 '실습 키보드' 액세스를 통해 이들은 cmd.exe를 사용하여 mshta.exe를 실행하고 VB(Visual Basic) 기반 악성 코드에 연결된 URL을 통합했습니다.

ConnectWise 보안 문제의 중심에 있는 취약점은 CVE-2024-1708 및 CVE-2024-1709입니다. 이러한 취약점이 노출된 이후 여러 위협 행위자들이 이를 광범위하게 악용했습니다. 이러한 악의적인 공격자는 취약점을 활용하여 암호화폐 채굴기, 랜섬웨어, 원격 액세스 트로이 목마(RATS) 및 스틸러 악성 코드를 포함하여 안전하지 않은 다양한 페이로드를 배포했습니다.

Kimsuky 사이버 범죄자는 가장 활동적인 사이버 범죄자 중 하나입니다

APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet(구 Thallium), KTA082, Nickel Kimball, Velvet Chollima 등 다양한 별칭으로 알려진 Kimsuky APT(Advanced Persistent Threat) 그룹은 악성코드 도구의 범위를 지속적으로 확장해 왔습니다. 최신 추가 기능 중에는 GoBear와 Troll Stealer가 있습니다.

2018년 말에 처음 식별된 BabyShark는 HTML 애플리케이션(HTA) 파일을 통해 시작되었습니다. 이 VB 스크립트 악성코드는 실행 시 시스템 정보를 추출하여 명령 및 제어(C2) 서버로 보냅니다. 또한 BabyShark는 시스템에 지속성을 설정하고 운영자의 추가 지시를 기다립니다.

2023년 5월에는 ReconShark라는 BabyShark 변종이 발견되었습니다. 이는 특히 개인을 대상으로 하는 스피어 피싱 이메일을 통해 전달되었으며, 사이버 작전에서 APT 그룹의 지속적인 발전과 적응성을 보여주었습니다.

TODDLESHARK 악성 코드는 이전 Kimsuki 위협이 진화한 것으로 여겨집니다.

TODDLERSHARK는 동일한 악성 코드의 최신 버전으로 간주되며 코드와 동작의 유사성 모두에서 분명합니다. 지속성을 유지하기 위해 예약된 작업을 활용하는 것 외에도 악성코드는 손상된 호스트에서 중요한 정보를 효과적으로 캡처하고 전송하도록 설계되어 귀중한 정찰 도구로 작동합니다.

TODDLERSHARK는 코드 내의 ID 문자열 변경, 생성된 정크 코드를 통한 코드 위치 이동, 고유하게 생성된 명령 및 제어(C2) URL 사용을 통해 나타나는 다형성 동작의 특성을 보여줍니다. 이러한 기능은 특정 환경에서 이 맬웨어를 탐지하는 데 잠재적인 문제를 야기합니다.

TODDLESHARK 악성 코드에 대해 사이버 보안 연구원이 권장하는 조치

ConnectWise ScreenConnect 버전 23.9.7 이하를 실행하는 시스템의 보안을 강화하려면 즉각적인 조치가 필수적입니다. 잠재적인 손상을 해결하려면 ConnectWise 권고에 설명된 지침을 따르는 것이 중요합니다. 시스템, 특히 인터넷에서 액세스할 수 있는 시스템의 보호 및 모니터링에 우선순위를 두는 것이 중요합니다. 이는 웹셸에 대한 철저한 시스템 검사를 수행하도록 특별히 구성된 EDR(엔드포인트 탐지 및 응답) 또는 맬웨어 방지 도구를 배포하여 달성할 수 있습니다.

또한 WAF(웹 애플리케이션 방화벽) 또는 이에 상응하는 웹 트래픽 모니터링 시스템을 구현하거나 구성하는 것이 좋습니다. 이 조치는 실시간 분석을 촉진하고 잠재적 악용 시 향상된 탐지 기능을 제공하여 더욱 강력하고 탄력적인 보안 인프라를 구축하는 데 기여합니다.