TODDLESHARK ļaunprātīga programmatūra
Kiberdrošības eksperti ir identificējuši jaunu ļaunprogrammatūru ar nosaukumu TODDLERSHARK, ko izvietojuši Ziemeļkorejas draudu dalībnieki, kuri izmantoja nesen atklātās ConnectWise ScreenConnect drošības ievainojamības. Ziņojumā norādīts, ka TODDLERSHARK ir līdzīgas iepriekš zināmajām Kimsuky ļaunprātīgajām programmām, tostarp BabyShark un ReconShark.
Ar krāpšanu saistītie dalībnieki piekļuva upura darbstacijai, izmantojot ScreenConnect lietojumprogrammas iestatīšanas vedņa ievainojamības. Izmantojot šo "praktiskās tastatūras" piekļuvi, viņi izmantoja cmd.exe, lai izpildītu mshta.exe, iekļaujot URL, kas saistīts ar Visual Basic (VB) balstītu ļaunprogrammatūru.
ConnectWise drošības problēmu centrā esošās ievainojamības ir CVE-2024-1708 un CVE-2024-1709. Kopš šīs ievainojamības tika atklātas, vairāki apdraudējuma dalībnieki tās ir plaši izmantojuši. Šie ļaundabīgie dalībnieki ir izmantojuši ievainojamības, lai izplatītu virkni nedrošu lietderīgo kravu, tostarp kriptovalūtas kalnračus, izspiedējvīrusu programmatūru, attālās piekļuves Trojas zirgus RATS) un zagļu ļaunprātīgu programmatūru.
Satura rādītājs
Kimsuki kibernoziedznieki ir vieni no aktīvākajiem
Grupa Kimsuky Advanced Persistent Threat (APT), ko atpazīst ar dažādiem aizstājvārdiem, piemēram, APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (agrāk Tallium), KTA082, Nickel Kimball un Velvet Chollima, ir pastāvīgi paplašinājusi savu ļaunprātīgas programmatūras rīku repertuāru. Starp jaunākajiem papildinājumiem ir GoBear un Troll Stealer.
BabyShark pirmo reizi tika identificēts 2018. gada beigās, izmantojot HTML lietojumprogrammas (HTA) failu. Pēc izpildes šī VB skripta ļaunprogrammatūra izvelk sistēmas informāciju un nosūta to Command-and-Control (C2) serverim. Turklāt BabyShark nodrošina sistēmas noturību, gaidot papildu norādījumus no operatora.
2023. gada maijā tika atklāts BabyShark variants ar nosaukumu ReconShark. Tas tika piegādāts, izmantojot pikšķerēšanas e-pastus, īpaši mērķējot uz indivīdiem, demonstrējot APT grupas pastāvīgo attīstību un pielāgošanās spēju viņu kiberoperācijās.
Tiek uzskatīts, ka ļaunprogrammatūra TODDLESHARK ir iepriekšējo Kimsuki draudu evolūcija
TODDLERSHARK tiek uzskatīts par tās pašas ļaunprogrammatūras jaunāko atkārtojumu, kas redzams gan no koda, gan uzvedības līdzībām. Papildus ieplānota uzdevuma izmantošanai noturības uzturēšanai, ļaunprogrammatūra ir izstrādāta, lai efektīvi uztvertu un pārsūtītu sensitīvu informāciju no apdraudētiem saimniekiem, kas darbojas kā vērtīgs izlūkošanas rīks.
TODDLERSHARK demonstrē polimorfās uzvedības pazīmes, kas izpaužas, mainot identitātes virknes savā kodā, mainot koda pozīciju, izmantojot ģenerētu nevēlamo kodu, un izmantojot unikāli ģenerētus komandu un vadības (C2) URL. Šīs funkcijas veicina iespējamo izaicinājumu noteikt šo ļaunprātīgo programmatūru noteiktās vidēs.
Kiberdrošības pētnieku ieteiktie pasākumi pret ļaunprātīgu programmatūru TODDLESHARK
Lai uzlabotu to sistēmu drošību, kurās darbojas ConnectWise ScreenConnect versija 23.9.7 un vecākas, ir svarīgi nekavējoties rīkoties. Lai novērstu iespējamos kompromisus, ir ļoti svarīgi ievērot ConnectWise ieteikumā izklāstītās vadlīnijas. Sistēmu, jo īpaši internetā pieejamo, aizsardzībai un uzraudzībai ir obligāti jāpiešķir prioritāte. To var panākt, izvietojot galapunktu noteikšanas un atbildes (EDR) vai ļaunprātīgas programmatūras novēršanas rīku, kas īpaši konfigurēts, lai veiktu rūpīgu tīmekļa čaulu sistēmas skenēšanu.
Turklāt ir ieteicams ieviest vai konfigurēt tīmekļa lietojumprogrammu ugunsmūri (WAF) vai līdzīgu tīmekļa trafika uzraudzības sistēmu. Šis pasākums atvieglo reāllaika analīzi, piedāvājot uzlabotas noteikšanas iespējas potenciālas izmantošanas gadījumā, veicinot izturīgāku un elastīgāku drošības infrastruktūru.
