TODDLESHARK Kenkėjiška programa
Kibernetinio saugumo ekspertai nustatė naują kenkėjišką programinę įrangą, pavadintą TODDLERSHARK, kurią įdiegė Šiaurės Korėjos grėsmės veikėjai, kurie pasinaudojo neseniai atskleistomis „ConnectWise ScreenConnect“ saugumo spragomis. Ataskaitoje nurodoma, kad TODDLERSHARK turi panašumų su anksčiau žinomomis Kimsuky kenkėjiškomis programomis, įskaitant BabyShark ir ReconShark.
Su sukčiavimu susiję veikėjai pasiekė aukos darbo vietą išnaudodami „ScreenConnect“ programos sąrankos vedlio pažeidžiamumą. Turėdami šią „praktinę klaviatūrą“ jie naudojo cmd.exe, kad vykdytų mshta.exe, įtraukiant URL, susietą su „Visual Basic“ (VB) pagrįsta kenkėjiška programa.
„ConnectWise“ saugumo problemų centre yra CVE-2024-1708 ir CVE-2024-1709. Nuo tada, kai buvo atskleisti šie pažeidžiamumai, keli grėsmės veikėjai jais plačiai pasinaudojo. Šie piktavališki veikėjai pasinaudojo pažeidžiamumu platindami daugybę nesaugių naudingų dalykų, įskaitant kriptovaliutų kasėjus, išpirkos reikalaujančias programas, nuotolinės prieigos Trojos arklys RATS) ir kenkėjiškas programas.
Turinys
Kimsuky kibernetiniai nusikaltėliai yra vieni aktyviausių
„Kimsuky Advanced Persistent Threat“ (APT) grupė, atpažįstama įvairiais slapyvardžiais, tokiais kaip APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anksčiau Tallium), KTA082, Nickel Kimball ir Velvet Chollima, nuolat plečia savo kenkėjiškų programų įrankių repertuarą. Tarp naujausių priedų yra „GoBear“ ir „Troll Stealer“.
Pirmą kartą identifikuotas 2018 m. pabaigoje, „BabyShark“ buvo inicijuotas naudojant HTML programos (HTA) failą. Vykdant, ši VB scenarijaus kenkėjiška programa ištraukia sistemos informaciją ir siunčia ją į komandų ir valdymo (C2) serverį. Be to, „BabyShark“ užtikrina sistemos atkaklumą ir laukia tolesnių operatoriaus nurodymų.
2023 m. gegužės mėn. buvo aptiktas BabyShark variantas, pavadintas ReconShark. Jis buvo pristatytas per sukčiavimo el. laiškus, specialiai skirtus asmenims, demonstruojant nuolatinę APT grupės evoliuciją ir gebėjimą prisitaikyti vykdant kibernetines operacijas.
Manoma, kad TODDLESHARK kenkėjiška programa yra ankstesnių Kimsuki grėsmių evoliucija
TODDLERSHARK laikoma naujausia tos pačios kenkėjiškos programinės įrangos iteracija, kuri matyti iš kodo ir elgesio panašumų. Kenkėjiška programa ne tik naudoja suplanuotą užduotį, kad išlaikytų atkaklumą, bet ir skirta efektyviai užfiksuoti ir perduoti slaptą informaciją iš pažeistų prieglobų, o tai veikia kaip vertingas žvalgybos įrankis.
TODDLERSHARK demonstruoja polimorfinio elgesio ypatybes, pasireiškiančias keičiant tapatybės eilutes savo kode, keičiant kodo padėtį per sugeneruotą nepageidaujamą kodą ir naudojant unikaliai sugeneruotus komandų ir valdymo (C2) URL. Šios funkcijos prisideda prie galimo iššūkio aptikti šią kenkėjišką programą tam tikroje aplinkoje.
Kibernetinio saugumo tyrinėtojų rekomenduojamos priemonės prieš kenkėjišką programą TODDLESHARK
Norint padidinti sistemų, kuriose veikia „ConnectWise ScreenConnect“ 23.9.7 ir senesnės versijos, saugumą, būtina nedelsiant imtis veiksmų. Norint išspręsti galimus kompromisus, labai svarbu laikytis „ConnectWise“ patarime pateiktų gairių. Būtina teikti pirmenybę sistemų, ypač prieinamų internete, apsaugai ir stebėjimui. Tai galima pasiekti įdiegus galutinio taško aptikimo ir atsako (EDR) arba apsaugos nuo kenkėjiškų programų įrankį, specialiai sukonfigūruotą atlikti išsamų sistemos nuskaitymą, ieškant žiniatinklio apvalkalų.
Be to, rekomenduojama įdiegti arba konfigūruoti žiniatinklio programų užkardą (WAF) arba panašią žiniatinklio srauto stebėjimo sistemą. Ši priemonė palengvina analizę realiuoju laiku ir siūlo patobulintas aptikimo galimybes potencialaus išnaudojimo atveju, taip prisidedant prie tvirtesnės ir atsparesnės saugos infrastruktūros.
