TODDLESHARK Malware
Os especialistas em segurança cibernética identificaram um novo malware chamado TODDLERSHARK, implantado por agentes de ameaças norte-coreanos que aproveitaram as vulnerabilidades de segurança recentemente reveladas no ConnectWise ScreenConnect. Um relatório indica que o TODDLERSHARK compartilha semelhanças com o malware Kimsuky anteriormente conhecido, incluindo o BabyShark e o ReconShark.
Os atores relacionados à fraude acessaram a estação de trabalho da vítima explorando vulnerabilidades no assistente de configuração do aplicativo ScreenConnect. Com esse acesso prático ao teclado, eles empregaram cmd.exe para executar mshta.exe, incorporando uma URL vinculada ao malware baseado em Visual Basic (VB).
As vulnerabilidades no centro das preocupações de segurança do ConnectWise são CVE-2024-1708 e CVE-2024-1709. Desde que essas vulnerabilidades foram expostas, vários agentes de ameaças as exploraram extensivamente. Esses atores malévolos utilizaram as vulnerabilidades para distribuir uma variedade de cargas inseguras, incluindo mineradores de criptomoedas, ransomware, Trojans de acesso remoto (RATS) e malware ladrão.
Índice
Os Cibercriminosos do Kimsuky estão Entre os Mais Ativos
O grupo Kimsuky Advanced Persistent Threat (APT), reconhecido por vários pseudônimos como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), KTA082, Nickel Kimball e Velvet Chollima, expandiu consistentemente seu repertório de ferramentas de malware. Entre as últimas novidades estão o GoBear e o Troll Stealer.
Identificado pela primeira vez no final de 2018, o BabyShark foi iniciado por meio de um arquivo HTML Application (HTA). Após a execução, esse malware de script VB extrai informações do sistema e as envia para um servidor de comando e controle (C2). Além disso, o BabyShark estabelece persistência no sistema, aguardando novas instruções do operador.
Em maio de 2023, uma variante do BabyShark, chamada ReconShark, foi detectada. Ele foi entregue por meio de e-mails de spearphishing, direcionados especificamente a indivíduos, mostrando a evolução contínua e a adaptabilidade do grupo APT em suas operações cibernéticas.
Acredita-se que o TODDLESHARK Malware seja uma Evolução de Ameaças Anteriores do Kimsuki
O TODDLERSHARK é considerado a iteração mais recente do mesmo malware, evidente tanto no código quanto nas semelhanças comportamentais. Além de utilizar uma tarefa agendada para manter a persistência, o malware foi projetado para capturar e transmitir com eficácia informações confidenciais de hosts comprometidos, funcionando como uma valiosa ferramenta de reconhecimento.
O TODDLERSHARK demonstra características de comportamento polimórfico, manifestado por meio de alterações nas cadeias de identidade em seu código, mudando a posição do código por meio de código indesejado gerado e empregando URLs de Comando e Controle (C2) gerados exclusivamente. Esses recursos contribuem para o desafio potencial de detecção desse malware em determinados ambientes.
Medidas Recomendadas pelos Pesquisadores de Segurança Cibernética contra o TODDLESHARK Malware
Para aumentar a segurança dos sistemas que executam o ConnectWise ScreenConnect versões 23.9.7 e anteriores, uma ação imediata é essencial. Seguir as diretrizes descritas no comunicado do ConnectWise é crucial para lidar com possíveis comprometimentos. É imperativo priorizar a proteção e o monitoramento dos sistemas, especialmente aqueles acessíveis na Internet. Isso pode ser alcançado implantando uma ferramenta de detecção e resposta de endpoint (EDR) ou antimalware especificamente configurada para conduzir varreduras completas do sistema para webshells.
Além disso, recomenda-se a implementação ou configuração de um Web Application Firewall (WAF) ou de um sistema comparável de monitoramento de tráfego da Web. Esta medida facilita a análise em tempo real, oferecendo capacidades de deteção melhoradas em caso de potencial exploração, contribuindo para uma infraestrutura de segurança mais robusta e resiliente.
