TODDLESHARK-malware
Cybersecurity-experts hebben een nieuwe malware geïdentificeerd met de naam TODDLERSHARK, ingezet door Noord-Koreaanse bedreigingsactoren die misbruik maakten van recentelijk onthulde beveiligingskwetsbaarheden in ConnectWise ScreenConnect. Uit een rapport blijkt dat TODDLERHARK overeenkomsten vertoont met eerder bekende Kimsuky-malware, waaronder BabyShark en ReconShark.
De fraudegerelateerde actoren hebben toegang gekregen tot het werkstation van het slachtoffer door misbruik te maken van kwetsbaarheden in de installatiewizard van de ScreenConnect-applicatie. Met deze 'hands-on keyboard'-toegang gebruikten ze cmd.exe om mshta.exe uit te voeren, met daarin een URL die was gekoppeld aan de op Visual Basic (VB) gebaseerde malware.
De kwetsbaarheden die centraal staan in de beveiligingsproblemen van ConnectWise zijn CVE-2024-1708 en CVE-2024-1709. Sinds deze kwetsbaarheden aan het licht kwamen, hebben meerdere bedreigingsactoren deze op grote schaal uitgebuit. Deze kwaadaardige actoren hebben de kwetsbaarheden gebruikt om een reeks onveilige ladingen te verspreiden, waaronder cryptocurrency-miners, ransomware, Remote Access Trojans (RATS) en stealer-malware.
Inhoudsopgave
De Kimsuky-cybercriminelen behoren tot de meest actieve
De Kimsuky Advanced Persistent Threat (APT)-groep, erkend onder verschillende aliassen zoals APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (voorheen Thallium), KTA082, Nickel Kimball en Velvet Chollima, heeft zijn repertoire aan malwaretools consequent uitgebreid. Tot de nieuwste toevoegingen behoren GoBear en Troll Stealer.
BabyShark werd voor het eerst geïdentificeerd eind 2018 en werd geïnitieerd via een HTML-toepassingsbestand (HTA). Bij uitvoering extraheert deze VB-script-malware systeeminformatie en stuurt deze naar een Command-and-Control (C2)-server. Bovendien zorgt BabyShark voor persistentie op het systeem, in afwachting van verdere instructies van de operator.
In mei 2023 werd een variant van BabyShark, genaamd ReconShark, gedetecteerd. Het werd afgeleverd via spearphishing-e-mails, die specifiek gericht waren op individuen, en toonden de voortdurende evolutie en het aanpassingsvermogen van de APT-groep in hun cyberactiviteiten.
Er wordt aangenomen dat de TODDLESHARK-malware een evolutie is van eerdere Kimsuki-bedreigingen
TODDLERSHARK wordt beschouwd als de nieuwste versie van dezelfde malware, wat blijkt uit zowel de code als de gedragsovereenkomsten. Naast het gebruik van een geplande taak voor het handhaven van de persistentie, is de malware ontworpen om op effectieve wijze gevoelige informatie van besmette hosts vast te leggen en te verzenden, en functioneert als een waardevol verkenningsinstrument.
TODDLERSHARK demonstreert kenmerken van polymorf gedrag, dat tot uiting komt door wijzigingen in identiteitsstrings binnen de code, het verschuiven van de positie van code via gegenereerde junkcode en het gebruik van uniek gegenereerde Command and Control (C2) URL's. Deze functies dragen bij aan de potentiële uitdaging van het detecteren van deze malware in bepaalde omgevingen.
Maatregelen aanbevolen door cyberbeveiligingsonderzoekers tegen de TODDLESHARK-malware
Om de beveiliging van systemen met ConnectWise ScreenConnect versie 23.9.7 en eerder te verbeteren, is onmiddellijke actie essentieel. Het volgen van de richtlijnen die zijn uiteengezet in het ConnectWise-advies is van cruciaal belang om potentiële compromissen aan te pakken. Het is absoluut noodzakelijk om prioriteit te geven aan de bescherming en monitoring van systemen, met name die welke via internet toegankelijk zijn. Dit kan worden bereikt door een endpoint detectie en respons (EDR) of anti-malware tool in te zetten die specifiek is geconfigureerd om grondige systeemscans voor webshells uit te voeren.
Daarnaast wordt de implementatie of configuratie van een Web Application Firewall (WAF) of een vergelijkbaar monitoringsysteem voor webverkeer aanbevolen. Deze maatregel vergemakkelijkt real-time analyses en biedt verbeterde detectiemogelijkheden in het geval van mogelijke exploitatie, wat bijdraagt aan een robuustere en veerkrachtigere beveiligingsinfrastructuur.
