TODDLESHARK ਮਾਲਵੇਅਰ
ਸਾਈਬਰਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਨੇ TODDLERSHARK ਨਾਮਕ ਇੱਕ ਨਵੇਂ ਮਾਲਵੇਅਰ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜੋ ਕਿ ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ ਧਮਕੀ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ ਜਿਨ੍ਹਾਂ ਨੇ ConnectWise ScreenConnect ਵਿੱਚ ਹਾਲ ਹੀ ਵਿੱਚ ਸਾਹਮਣੇ ਆਈਆਂ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਫਾਇਦਾ ਉਠਾਇਆ ਹੈ। ਇੱਕ ਰਿਪੋਰਟ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ TODDLERSHARK ਪਹਿਲਾਂ ਜਾਣੇ ਜਾਂਦੇ ਕਿਮਸੁਕੀ ਮਾਲਵੇਅਰ ਨਾਲ ਸਮਾਨਤਾਵਾਂ ਸਾਂਝੀਆਂ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਬੇਬੀਸ਼ਾਰਕ ਅਤੇ ਰੀਕਨਸ਼ਾਰਕ ਸ਼ਾਮਲ ਹਨ।
ਧੋਖਾਧੜੀ ਨਾਲ ਸਬੰਧਤ ਅਦਾਕਾਰਾਂ ਨੇ ScreenConnect ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਸੈੱਟਅੱਪ ਵਿਜ਼ਾਰਡ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਪੀੜਤ ਦੇ ਵਰਕਸਟੇਸ਼ਨ ਤੱਕ ਪਹੁੰਚ ਕੀਤੀ। ਇਸ 'ਹੈਂਡ-ਆਨ ਕੀਬੋਰਡ' ਪਹੁੰਚ ਦੇ ਨਾਲ, ਉਹਨਾਂ ਨੇ mshta.exe ਨੂੰ ਚਲਾਉਣ ਲਈ cmd.exe ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਵਿਜ਼ੂਅਲ ਬੇਸਿਕ (VB) ਅਧਾਰਤ ਮਾਲਵੇਅਰ ਨਾਲ ਲਿੰਕ ਕੀਤੇ URL ਨੂੰ ਸ਼ਾਮਲ ਕੀਤਾ।
ConnectWise ਸੁਰੱਖਿਆ ਚਿੰਤਾਵਾਂ ਦੇ ਕੇਂਦਰ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ CVE-2024-1708 ਅਤੇ CVE-2024-1709 ਹਨ। ਕਿਉਂਕਿ ਇਹਨਾਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਗਿਆ ਸੀ, ਕਈ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਉਹਨਾਂ ਦਾ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਹੈ। ਇਹਨਾਂ ਖ਼ਤਰਨਾਕ ਅਦਾਕਾਰਾਂ ਨੇ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਰ, ਰੈਨਸਮਵੇਅਰ, ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ RATS), ਅਤੇ ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਮਾਲਵੇਅਰ ਸਮੇਤ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਅਸੁਰੱਖਿਅਤ ਪੇਲੋਡਾਂ ਨੂੰ ਵੰਡਣ ਲਈ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਕਿਮਸੁਕੀ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਭ ਤੋਂ ਵੱਧ ਸਰਗਰਮ ਹਨ
ਕਿਮਸੁਕੀ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੀਟ (APT) ਸਮੂਹ, ਜਿਸ ਨੂੰ ਵੱਖ-ਵੱਖ ਉਪਨਾਮਾਂ ਜਿਵੇਂ ਕਿ APT43, Archipelago, Black Banshee, Emerald Sleet (ਪਹਿਲਾਂ ਥੈਲਿਅਮ), KTA082, ਨਿੱਕਲ ਕਿਮਬਾਲ, ਅਤੇ ਵੈਲਵੇਟ ਚੋਲਿਮਾ ਦੁਆਰਾ ਮਾਨਤਾ ਪ੍ਰਾਪਤ ਹੈ, ਨੇ ਲਗਾਤਾਰ ਆਪਣੇ ਮਾਲ ਟੂਲ ਦੇ ਭੰਡਾਰ ਦਾ ਵਿਸਤਾਰ ਕੀਤਾ ਹੈ। ਨਵੀਨਤਮ ਜੋੜਾਂ ਵਿੱਚੋਂ GoBear ਅਤੇ Troll Stealer ਹਨ।
ਪਹਿਲੀ ਵਾਰ 2018 ਦੇ ਅਖੀਰ ਵਿੱਚ ਪਛਾਣ ਕੀਤੀ ਗਈ, ਬੇਬੀਸ਼ਾਰਕ ਨੂੰ ਇੱਕ HTML ਐਪਲੀਕੇਸ਼ਨ (HTA) ਫਾਈਲ ਦੁਆਰਾ ਸ਼ੁਰੂ ਕੀਤਾ ਗਿਆ ਸੀ। ਚੱਲਣ 'ਤੇ, ਇਹ VB ਸਕ੍ਰਿਪਟ ਮਾਲਵੇਅਰ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨੂੰ ਭੇਜਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਬੇਬੀਸ਼ਾਰਕ ਓਪਰੇਟਰ ਤੋਂ ਹੋਰ ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਉਡੀਕ ਕਰਦੇ ਹੋਏ, ਸਿਸਟਮ 'ਤੇ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।
ਮਈ 2023 ਵਿੱਚ, ਬੇਬੀਸ਼ਾਰਕ ਦਾ ਇੱਕ ਰੂਪ, ਜਿਸਦਾ ਨਾਮ ReconShark ਹੈ, ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ ਸੀ। ਇਹ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਰਾਹੀਂ ਡਿਲੀਵਰ ਕੀਤਾ ਗਿਆ ਸੀ, ਖਾਸ ਤੌਰ 'ਤੇ ਵਿਅਕਤੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ, APT ਸਮੂਹ ਦੇ ਚੱਲ ਰਹੇ ਵਿਕਾਸ ਅਤੇ ਉਹਨਾਂ ਦੇ ਸਾਈਬਰ ਕਾਰਜਾਂ ਵਿੱਚ ਅਨੁਕੂਲਤਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦੇ ਹੋਏ।
TODDLESHARK ਮਾਲਵੇਅਰ ਨੂੰ ਪਿਛਲੀਆਂ ਕਿਮਸੁਕੀ ਧਮਕੀਆਂ ਦਾ ਇੱਕ ਵਿਕਾਸ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ
TODDLERSHARK ਨੂੰ ਉਸੇ ਮਾਲਵੇਅਰ ਦਾ ਨਵੀਨਤਮ ਦੁਹਰਾਓ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਕੋਡ ਅਤੇ ਵਿਹਾਰਕ ਸਮਾਨਤਾਵਾਂ ਦੋਵਾਂ ਤੋਂ ਸਪੱਸ਼ਟ ਹੁੰਦਾ ਹੈ। ਨਿਰੰਤਰਤਾ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਲਈ ਇੱਕ ਨਿਯਤ ਕਾਰਜ ਦੀ ਵਰਤੋਂ ਕਰਨ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਨੂੰ ਇੱਕ ਕੀਮਤੀ ਪੁਨਰ ਖੋਜ ਟੂਲ ਵਜੋਂ ਕੰਮ ਕਰਦੇ ਹੋਏ, ਸਮਝੌਤਾ ਕੀਤੇ ਮੇਜ਼ਬਾਨਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਕੈਪਚਰ ਕਰਨ ਅਤੇ ਸੰਚਾਰਿਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
TODDLERSHARK ਪੋਲੀਮੋਰਫਿਕ ਵਿਵਹਾਰ ਦੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ, ਇਸਦੇ ਕੋਡ ਦੇ ਅੰਦਰ ਪਛਾਣ ਦੀਆਂ ਸਤਰਾਂ ਵਿੱਚ ਤਬਦੀਲੀਆਂ ਦੁਆਰਾ ਪ੍ਰਗਟ ਹੁੰਦਾ ਹੈ, ਤਿਆਰ ਕੀਤੇ ਜੰਕ ਕੋਡ ਦੁਆਰਾ ਕੋਡ ਦੀ ਸਥਿਤੀ ਨੂੰ ਬਦਲਦਾ ਹੈ, ਅਤੇ ਵਿਲੱਖਣ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੇ ਕਮਾਂਡ ਐਂਡ ਕੰਟਰੋਲ (C2) URLs ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਕੁਝ ਖਾਸ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਇਸ ਮਾਲਵੇਅਰ ਦਾ ਪਤਾ ਲਗਾਉਣ ਦੀ ਸੰਭਾਵੀ ਚੁਣੌਤੀ ਵਿੱਚ ਯੋਗਦਾਨ ਪਾਉਂਦੀਆਂ ਹਨ।
TODDLESHARK ਮਾਲਵੇਅਰ ਦੇ ਵਿਰੁੱਧ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਸਿਫਾਰਸ਼ ਕੀਤੇ ਉਪਾਅ
ConnectWise ScreenConnect ਵਰਜਨ 23.9.7 ਅਤੇ ਇਸ ਤੋਂ ਪਹਿਲਾਂ ਚੱਲ ਰਹੇ ਸਿਸਟਮਾਂ ਦੀ ਸੁਰੱਖਿਆ ਨੂੰ ਵਧਾਉਣ ਲਈ, ਤੁਰੰਤ ਕਾਰਵਾਈ ਜ਼ਰੂਰੀ ਹੈ। ਸੰਭਾਵੀ ਸਮਝੌਤਿਆਂ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ ConnectWise ਸਲਾਹਕਾਰ ਵਿੱਚ ਦੱਸੇ ਗਏ ਦਿਸ਼ਾ-ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਪਾਲਣਾ ਕਰਨਾ ਮਹੱਤਵਪੂਰਨ ਹੈ। ਸਿਸਟਮਾਂ ਦੀ ਸੁਰੱਖਿਆ ਅਤੇ ਨਿਗਰਾਨੀ ਨੂੰ ਤਰਜੀਹ ਦੇਣਾ ਲਾਜ਼ਮੀ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਉਹ ਜਿਹੜੇ ਇੰਟਰਨੈਟ 'ਤੇ ਪਹੁੰਚਯੋਗ ਹਨ। ਇਹ ਇੱਕ ਐਂਡਪੁਆਇੰਟ ਡਿਟੈਕਸ਼ਨ ਐਂਡ ਰਿਸਪਾਂਸ (EDR) ਜਾਂ ਐਂਟੀ-ਮਾਲਵੇਅਰ ਟੂਲ ਨੂੰ ਤੈਨਾਤ ਕਰਕੇ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਜੋ ਖਾਸ ਤੌਰ 'ਤੇ ਵੈਬਸ਼ੈਲਾਂ ਲਈ ਪੂਰੀ ਤਰ੍ਹਾਂ ਸਿਸਟਮ ਸਕੈਨ ਕਰਨ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇੱਕ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਫਾਇਰਵਾਲ (ਡਬਲਯੂਏਐਫ) ਜਾਂ ਇੱਕ ਤੁਲਨਾਤਮਕ ਵੈਬ ਟ੍ਰੈਫਿਕ ਨਿਗਰਾਨੀ ਪ੍ਰਣਾਲੀ ਦੇ ਲਾਗੂ ਜਾਂ ਸੰਰਚਨਾ ਦੀ ਸਿਫਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇਹ ਉਪਾਅ ਰੀਅਲ-ਟਾਈਮ ਵਿਸ਼ਲੇਸ਼ਣ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ, ਸੰਭਾਵੀ ਸ਼ੋਸ਼ਣ ਦੀ ਸਥਿਤੀ ਵਿੱਚ ਵਧੀਆਂ ਖੋਜ ਸਮਰੱਥਾਵਾਂ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦਾ ਹੈ, ਇੱਕ ਵਧੇਰੇ ਮਜ਼ਬੂਤ ਅਤੇ ਲਚਕੀਲੇ ਸੁਰੱਖਿਆ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਯੋਗਦਾਨ ਪਾਉਂਦਾ ਹੈ।
