TODDLESHARK मालवेयर
साइबरसुरक्षा विशेषज्ञहरूले TODDLERSHARK नामको नयाँ मालवेयर पहिचान गरेका छन्, जुन उत्तर कोरियाली खतरा अभिनेताहरूद्वारा तैनात गरिएको थियो जसले हालसालै ConnectWise ScreenConnect मा सुरक्षा कमजोरीहरूको फाइदा उठाए। एउटा रिपोर्टले संकेत गर्छ कि TODDLERSHARK ले बेबीशार्क र ReconShark सहित पहिले ज्ञात किमसुकी मालवेयरसँग समानताहरू साझा गर्दछ।
जालसाजी-सम्बन्धित अभिनेताहरूले ScreenConnect अनुप्रयोगको सेटअप विजार्डमा कमजोरीहरूको शोषण गरेर पीडितको कार्यस्थानमा पहुँच गरे। यो 'ह्यान्ड्स-अन किबोर्ड' पहुँचको साथ, तिनीहरूले mshta.exe कार्यान्वयन गर्न cmd.exe प्रयोग गरे, भिजुअल बेसिक (VB) मा आधारित मालवेयरसँग लिङ्क गरिएको URL समावेश गर्दै।
ConnectWise सुरक्षा सरोकारको केन्द्रमा रहेका कमजोरीहरू CVE-2024-1708 र CVE-2024-1709 हुन्। यी कमजोरीहरू पर्दाफास भएदेखि, धेरै खतरा अभिनेताहरूले तिनीहरूलाई व्यापक रूपमा शोषण गरेका छन्। क्रिप्टोकरेन्सी माइनरहरू, ransomware, Remote Access Trojans RATS), र चोरी गर्ने मालवेयर लगायतका असुरक्षित पेलोडहरूको दायरा वितरण गर्न यी दुर्भावनापूर्ण अभिनेताहरूले कमजोरीहरू प्रयोग गरेका छन्।
सामग्रीको तालिका
किमसुकी साइबर अपराधीहरू सबैभन्दा सक्रिय छन्
APT43, ArchipeLAGO, Black Banshee, Emerald Sleet (पहिले थालियम), KTA082, Nickel Kimball, र Velvet Chollima जस्ता विभिन्न उपनामहरूद्वारा मान्यता प्राप्त किमसुकी एडभान्स्ड पर्सिस्टेन्ट थ्रेट (APT) समूहले लगातार आफ्नो मालवेयर उपकरणको भण्डार विस्तार गरेको छ। नवीनतम थपहरू मध्ये GoBear र Troll Stealer छन्।
2018 को अन्तमा पहिलो पटक पहिचान गरिएको, बेबीशार्क एक HTML अनुप्रयोग (HTA) फाइल मार्फत प्रारम्भ गरिएको थियो। कार्यान्वयनमा, यो VB स्क्रिप्ट मालवेयरले प्रणाली जानकारी निकाल्छ र यसलाई कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा पठाउँछ। थप रूपमा, बेबीशार्कले अपरेटरबाट थप निर्देशनहरूको पर्खाइमा प्रणालीमा दृढता स्थापित गर्दछ।
मे 2023 मा, ReconShark नामको बेबीशार्कको एक संस्करण पत्ता लाग्यो। यो भाला-फिसिङ इमेलहरू मार्फत डेलिभर गरिएको थियो, विशेष गरी व्यक्तिहरूलाई लक्षित गर्दै, APT समूहको चलिरहेको विकास र तिनीहरूको साइबर सञ्चालनहरूमा अनुकूलनता प्रदर्शन गर्दै।
TODDLESHARK मालवेयर अघिल्लो किमसुकी खतराहरूको विकास हो भन्ने विश्वास गरिन्छ
TODDLERSHARK लाई समान मालवेयरको पछिल्लो पुनरावृत्ति मानिन्छ, दुबै कोड र व्यवहार समानताहरूबाट स्पष्ट हुन्छ। दृढता कायम राख्नको लागि निर्धारित कार्यको उपयोग गर्नु बाहेक, मालवेयरलाई बहुमूल्य टोही उपकरणको रूपमा काम गर्दै, सम्झौता गरिएका होस्टहरूबाट संवेदनशील जानकारीहरू प्रभावकारी रूपमा खिच्न र प्रसारण गर्न डिजाइन गरिएको हो।
TODDLERSHARK ले पोलिमोर्फिक व्यवहारको विशेषताहरू प्रदर्शन गर्दछ, यसको कोड भित्र पहिचान स्ट्रिङहरूमा परिवर्तनहरू मार्फत प्रकट हुन्छ, उत्पन्न गरिएको जंक कोड मार्फत कोडको स्थिति परिवर्तन गर्दै, र विशिष्ट रूपमा उत्पन्न कमाण्ड र नियन्त्रण (C2) URL हरू प्रयोग गरेर। यी सुविधाहरूले निश्चित वातावरणमा यो मालवेयर पत्ता लगाउने सम्भावित चुनौतीमा योगदान दिन्छ।
TODDLESHARK मालवेयर विरुद्ध साइबरसुरक्षा अनुसन्धानकर्ताहरू द्वारा सिफारिस गरिएका उपायहरू
ConnectWise ScreenConnect संस्करण 23.9.7 र अघिल्लो चलिरहेको प्रणालीहरूको सुरक्षा बढाउनको लागि, तत्काल कारबाही आवश्यक छ। सम्भावित सम्झौताहरूलाई सम्बोधन गर्न ConnectWise सल्लाहकारमा उल्लिखित दिशानिर्देशहरू पालना गर्नु महत्त्वपूर्ण छ। विशेष गरी इन्टरनेटमा पहुँचयोग्य प्रणालीहरूको सुरक्षा र अनुगमनलाई प्राथमिकता दिनु आवश्यक छ। यो अन्त पोइन्ट पत्ता लगाउने र प्रतिक्रिया (EDR) वा विशेष रूपमा वेबशेलहरूको लागि पूर्ण प्रणाली स्क्यानहरू सञ्चालन गर्न कन्फिगर गरिएको एन्टी-मालवेयर उपकरण प्रयोग गरेर प्राप्त गर्न सकिन्छ।
थप रूपमा, वेब अनुप्रयोग फायरवाल (WAF) को कार्यान्वयन वा कन्फिगरेसन वा तुलनात्मक वेब ट्राफिक निगरानी प्रणाली सिफारिस गरिएको छ। यो उपायले वास्तविक-समय विश्लेषणलाई सुविधा दिन्छ, सम्भावित शोषणको घटनामा परिष्कृत पहिचान क्षमताहरू प्रदान गर्दै, थप बलियो र लचिलो सुरक्षा पूर्वाधारमा योगदान पुर्याउँछ।
