Perisian Hasad TODDLESHARK
Pakar keselamatan siber telah mengenal pasti perisian hasad baharu bernama TODDLERSHARK, yang digunakan oleh pelakon ancaman Korea Utara yang mengambil kesempatan daripada kelemahan keselamatan yang didedahkan baru-baru ini dalam ConnectWise ScreenConnect. Laporan menunjukkan bahawa TODDLERSHARK berkongsi persamaan dengan perisian hasad Kimsuky yang diketahui sebelum ini, termasuk BabyShark dan ReconShark.
Pelakon yang berkaitan dengan penipuan mengakses stesen kerja mangsa dengan mengeksploitasi kelemahan dalam wizard persediaan aplikasi ScreenConnect. Dengan akses 'papan kekunci tangan' ini, mereka menggunakan cmd.exe untuk melaksanakan mshta.exe, menggabungkan URL yang dipautkan kepada perisian hasad berasaskan Visual Basic (VB).
Kerentanan di pusat kebimbangan keselamatan ConnectWise ialah CVE-2024-1708 dan CVE-2024-1709. Sejak kelemahan ini terdedah, pelbagai pelaku ancaman telah mengeksploitasinya secara meluas. Pelakon jahat ini telah menggunakan kelemahan untuk mengedarkan pelbagai muatan yang tidak selamat, termasuk pelombong mata wang kripto, perisian tebusan, Remote Access Trojans RATS), dan perisian hasad pencuri.
Isi kandungan
Penjenayah Siber Kimsuky adalah Antara Yang Aktif
Kumpulan Kimsuky Advanced Persistent Threat (APT), yang diiktiraf oleh pelbagai alias seperti APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (dahulunya Thallium), KTA082, Nickel Kimball dan Velvet Chollima, telah secara konsisten mengembangkan repertoir alat perisian hasadnya. Antara tambahan terkini ialah GoBear dan Troll Stealer.
Pertama kali dikenal pasti pada akhir 2018, BabyShark telah dimulakan melalui fail Aplikasi HTML (HTA). Selepas pelaksanaan, perisian hasad skrip VB ini mengekstrak maklumat sistem dan menghantarnya ke pelayan Perintah-dan-Kawalan (C2). Selain itu, BabyShark mewujudkan kegigihan pada sistem, menunggu arahan lanjut daripada pengendali.
Pada Mei 2023, varian BabyShark, bernama ReconShark, telah dikesan. Ia dihantar melalui e-mel spear-phishing, khususnya menyasarkan individu, mempamerkan evolusi berterusan kumpulan APT dan kebolehsuaian dalam operasi siber mereka.
Perisian Hasad TODDLESHARK Dipercayai Sebagai Evolusi Ancaman Kimsuki Terdahulu
TODDLERSHARK dianggap sebagai lelaran terbaharu perisian hasad yang sama, terbukti daripada persamaan kod dan tingkah laku. Selain daripada menggunakan tugas berjadual untuk mengekalkan kegigihan, perisian hasad direka untuk menangkap dan menghantar maklumat sensitif secara berkesan daripada hos yang terjejas, berfungsi sebagai alat peninjau yang berharga.
TODDLERSHARK menunjukkan ciri-ciri tingkah laku polimorfik, ditunjukkan melalui perubahan dalam rentetan identiti dalam kodnya, mengalihkan kedudukan kod melalui kod sampah yang dijana dan menggunakan URL Perintah dan Kawalan (C2) yang dijana secara unik. Ciri ini menyumbang kepada potensi cabaran untuk mengesan perisian hasad ini dalam persekitaran tertentu.
Langkah Disyorkan oleh Penyelidik Keselamatan Siber terhadap Perisian Hasad TODDLESHARK
Untuk meningkatkan keselamatan sistem yang menjalankan ConnectWise ScreenConnect versi 23.9.7 dan lebih awal, tindakan segera adalah penting. Mengikuti garis panduan yang digariskan dalam nasihat ConnectWise adalah penting untuk menangani kemungkinan kompromi. Adalah penting untuk mengutamakan perlindungan dan pemantauan sistem, terutamanya yang boleh diakses di Internet. Ini boleh dicapai dengan menggunakan alat pengesanan dan tindak balas titik akhir (EDR) atau anti-perisian hasad yang dikonfigurasikan khusus untuk menjalankan imbasan sistem yang menyeluruh untuk cangkerang web.
Selain itu, pelaksanaan atau konfigurasi Tembok Api Aplikasi Web (WAF) atau sistem pemantauan trafik web yang setanding adalah disyorkan. Langkah ini memudahkan analisis masa nyata, menawarkan keupayaan pengesanan yang dipertingkatkan sekiranya berlaku potensi eksploitasi, menyumbang kepada infrastruktur keselamatan yang lebih teguh dan berdaya tahan.
