TODDLESHARK Skadelig programvare
Eksperter på nettsikkerhet har identifisert en ny skadelig programvare kalt TODDLERSHARK, distribuert av nordkoreanske trusselaktører som utnyttet nylig avslørte sikkerhetssårbarheter i ConnectWise ScreenConnect. En rapport indikerer at TODDLERSHARK deler likheter med tidligere kjent Kimsuky malware, inkludert BabyShark og ReconShark.
De svindelrelaterte aktørene fikk tilgang til offerets arbeidsstasjon ved å utnytte sårbarheter i ScreenConnect-applikasjonens oppsettveiviser. Med denne 'praktiske tastaturet'-tilgangen brukte de cmd.exe til å kjøre mshta.exe, med en URL koblet til Visual Basic (VB)-basert skadelig programvare.
Sårbarhetene i sentrum av ConnectWise-sikkerhetsproblemene er CVE-2024-1708 og CVE-2024-1709. Siden disse sårbarhetene ble avslørt, har flere trusselaktører utnyttet dem i stor grad. Disse ondsinnede aktørene har utnyttet sårbarhetene til å distribuere en rekke usikre nyttelaster, inkludert gruvearbeidere for kryptovaluta, løsepengeprogramvare, Remote Access Trojans RATS) og tyverisk skadelig programvare.
Innholdsfortegnelse
Kimsuky-nettkriminelle er blant de mest aktive
Kimsuky Advanced Persistent Threat (APT)-gruppen, anerkjent av ulike aliaser som APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (tidligere Thallium), KTA082, Nickel Kimball og Velvet Chollima, har konsekvent utvidet sitt repertoar av skadevareverktøy. Blant de siste tilskuddene er GoBear og Troll Stealer.
BabyShark ble først identifisert på slutten av 2018, og ble initiert gjennom en HTML-applikasjonsfil (HTA). Ved kjøring trekker dette VB-skriptet skadelig programvare ut systeminformasjon og sender den til en Command-and-Control-server (C2). I tillegg etablerer BabyShark utholdenhet på systemet, i påvente av ytterligere instruksjoner fra operatøren.
I mai 2023 ble en variant av BabyShark, kalt ReconShark, oppdaget. Den ble levert gjennom spear-phishing-e-poster, spesifikt rettet mot enkeltpersoner, og viste frem APT-gruppens pågående utvikling og tilpasningsevne i deres cyberoperasjoner.
TODDLESHARK Malware antas å være en utvikling av tidligere Kimsuki-trusler
TODDLERSHARK regnes som den siste iterasjonen av samme skadevare, tydelig fra både kode og atferdsmessige likheter. Bortsett fra å bruke en planlagt oppgave for å opprettholde utholdenhet, er skadelig programvare designet for å effektivt fange og overføre sensitiv informasjon fra kompromitterte verter, og fungerer som et verdifullt rekognoseringsverktøy.
TODDLERSHARK demonstrerer kjennetegn ved polymorf oppførsel, manifestert gjennom endringer i identitetsstrenger i koden, forskyvning av kodeposisjon gjennom generert søppelkode og bruk av unikt genererte Command and Control (C2) URL-er. Disse funksjonene bidrar til den potensielle utfordringen med å oppdage denne skadelige programvaren i visse miljøer.
Tiltak anbefalt av cybersikkerhetsforskere mot TODDLESHARK skadelig programvare
For å forbedre sikkerheten til systemer som kjører ConnectWise ScreenConnect versjoner 23.9.7 og tidligere, er umiddelbar handling avgjørende. Å følge retningslinjene skissert i ConnectWise-rådgivningen er avgjørende for å håndtere potensielle kompromisser. Det er viktig å prioritere beskyttelse og overvåking av systemer, spesielt de som er tilgjengelige på Internett. Dette kan oppnås ved å distribuere et endepunktdeteksjon og svar (EDR) eller anti-malware-verktøy spesifikt konfigurert for å utføre grundige systemskanninger for webshell.
I tillegg anbefales implementering eller konfigurasjon av en nettapplikasjonsbrannmur (WAF) eller et sammenlignbart nettrafikkovervåkingssystem. Dette tiltaket letter sanntidsanalyse, og tilbyr forbedrede deteksjonsmuligheter i tilfelle potensiell utnyttelse, og bidrar til en mer robust og motstandsdyktig sikkerhetsinfrastruktur.
