Złośliwe oprogramowanie TODDLESHARK
Eksperci ds. cyberbezpieczeństwa zidentyfikowali nowe złośliwe oprogramowanie o nazwie TODDLERSHARK, wdrożone przez północnokoreańskich ugrupowań zagrażających, które wykorzystały niedawno ujawnione luki w zabezpieczeniach ConnectWise ScreenConnect. Z raportu wynika, że TODDLERSHARK jest podobny do znanego wcześniej złośliwego oprogramowania Kimsuky, w tym BabyShark i ReconShark.
Podmioty powiązane z oszustwem uzyskały dostęp do stacji roboczej ofiary, wykorzystując luki w kreatorze konfiguracji aplikacji ScreenConnect. Dzięki temu dostępowi za pomocą „praktycznej klawiatury” wykorzystali cmd.exe do uruchomienia mshta.exe, zawierającego adres URL powiązany ze złośliwym oprogramowaniem opartym na Visual Basic (VB).
Luki będące głównym przedmiotem obaw związanych z bezpieczeństwem ConnectWise to CVE-2024-1708 i CVE-2024-1709. Od czasu ujawnienia tych luk wielu cyberprzestępców szeroko je wykorzystało. Ci złoczyńcy wykorzystali luki w zabezpieczeniach do dystrybucji szeregu niebezpiecznych ładunków, w tym koparek kryptowalut, oprogramowania ransomware, trojanów zdalnego dostępu RATS) i kradnącego złośliwego oprogramowania.
Spis treści
Cyberprzestępcy z Kimsuky należą do najbardziej aktywnych
Grupa Kimsuky Advanced Persistent Threat (APT), rozpoznawana pod różnymi pseudonimami, takimi jak APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (dawniej Thallium), KTA082, Nickel Kimball i Velvet Chollima, konsekwentnie poszerza swój repertuar narzędzi szkodliwego oprogramowania. Wśród najnowszych dodatków znajdują się GoBear i Troll Stealer.
Po raz pierwszy zidentyfikowany pod koniec 2018 r. BabyShark został zainicjowany za pomocą pliku aplikacji HTML (HTA). Po uruchomieniu to złośliwe oprogramowanie skryptowe VB wyodrębnia informacje systemowe i wysyła je do serwera dowodzenia i kontroli (C2). Dodatkowo BabyShark ustanawia trwałość w systemie, oczekując na dalsze instrukcje od operatora.
W maju 2023 roku wykryto wariant BabyShark o nazwie ReconShark. Został on dostarczony za pośrednictwem e-maili typu spear-phishing, skierowanych w szczególności do osób fizycznych i ukazujących ciągłą ewolucję grupy APT oraz jej zdolności adaptacyjne w jej operacjach cybernetycznych.
Uważa się, że złośliwe oprogramowanie TODDLESHARK stanowi ewolucję wcześniejszych zagrożeń Kimsuki
TODDLERSHARK jest uważany za najnowszą wersję tego samego złośliwego oprogramowania, co widać zarówno na podstawie podobieństwa kodu, jak i zachowania. Oprócz wykorzystywania zaplanowanych zadań w celu utrzymania trwałości, szkodliwe oprogramowanie zostało zaprojektowane tak, aby skutecznie przechwytywać i przesyłać poufne informacje z zaatakowanych hostów, działając jako cenne narzędzie rozpoznawcze.
TODDLERSHARK demonstruje cechy zachowania polimorficznego, objawiające się zmianami w ciągach identyfikacyjnych w kodzie, zmianą pozycji kodu poprzez wygenerowany kod-śmieci i wykorzystaniem unikalnie wygenerowanych adresów URL poleceń i kontroli (C2). Funkcje te przyczyniają się do potencjalnego wyzwania, jakim jest wykrycie tego złośliwego oprogramowania w niektórych środowiskach.
Środki zalecane przez badaczy cyberbezpieczeństwa przeciwko złośliwemu oprogramowaniu TODDLESHARK
Aby zwiększyć bezpieczeństwo systemów z ConnectWise ScreenConnect w wersji 23.9.7 i wcześniejszych, niezbędne jest natychmiastowe działanie. Postępowanie zgodnie z wytycznymi przedstawionymi w poradniku ConnectWise ma kluczowe znaczenie dla uniknięcia potencjalnych kompromisów. Konieczne jest nadanie priorytetu ochronie i monitorowaniu systemów, szczególnie tych dostępnych w Internecie. Można to osiągnąć poprzez wdrożenie narzędzia do wykrywania i reagowania na punktach końcowych (EDR) lub narzędzia chroniącego przed złośliwym oprogramowaniem, skonfigurowanego specjalnie do przeprowadzania dokładnego skanowania systemu w poszukiwaniu powłok internetowych.
Dodatkowo zaleca się wdrożenie lub konfigurację zapory aplikacji sieciowych (WAF) lub porównywalnego systemu monitorowania ruchu sieciowego. Środek ten ułatwia analizę w czasie rzeczywistym, oferując ulepszone możliwości wykrywania w przypadku potencjalnego wykorzystania, przyczyniając się do solidniejszej i bardziej odpornej infrastruktury bezpieczeństwa.
