TODDLESHARK Malware
Experții în securitate cibernetică au identificat un nou malware numit TODDLERSHARK, implementat de actori nord-coreeni care au profitat de vulnerabilitățile de securitate dezvăluite recent în ConnectWise ScreenConnect. Un raport indică faptul că TODDLERSHARK are asemănări cu malware Kimsuky cunoscut anterior, inclusiv BabyShark și ReconShark.
Actorii implicați în fraudă au accesat stația de lucru a victimei exploatând vulnerabilitățile din asistentul de configurare al aplicației ScreenConnect. Cu acest acces la „tastatură manuală”, au folosit cmd.exe pentru a executa mshta.exe, încorporând o adresă URL legată de programul malware bazat pe Visual Basic (VB).
Vulnerabilitățile din centrul preocupărilor de securitate ConnectWise sunt CVE-2024-1708 și CVE-2024-1709. De când aceste vulnerabilități au fost expuse, mai mulți actori amenințări le-au exploatat pe scară largă. Acești actori răuvoitori au folosit vulnerabilitățile pentru a distribui o serie de încărcături utile nesigure, inclusiv mineri de criptomonede, ransomware, troieni cu acces la distanță RATS) și malware de furt.
Cuprins
Infractorii cibernetici Kimsuky sunt printre cei mai activi
Grupul Kimsuky Advanced Persistent Threat (APT), recunoscut de diverse pseudonime, cum ar fi APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (fost Thallium), KTA082, Nickel Kimball și Velvet Chollima, și-a extins constant repertoriul de instrumente malware. Printre ultimele completări se numără GoBear și Troll Stealer.
Identificat pentru prima dată la sfârșitul anului 2018, BabyShark a fost inițiat printr-un fișier HTML Application (HTA). La execuție, acest program malware cu script VB extrage informații despre sistem și le trimite către un server de comandă și control (C2). În plus, BabyShark stabilește persistența în sistem, așteptând instrucțiuni suplimentare de la operator.
În mai 2023, a fost detectată o variantă de BabyShark, numită ReconShark. A fost livrat prin e-mailuri de tip spear-phishing, care vizează în mod specific indivizii, prezentând evoluția și adaptabilitatea continuă a grupului APT în operațiunile lor cibernetice.
Se crede că programul malware TODDLESHARK este o evoluție a amenințărilor Kimsuki anterioare
TODDLERSHARK este considerată cea mai recentă iterație a aceluiași malware, evident atât din codul, cât și din asemănările comportamentale. Pe lângă utilizarea unei sarcini programate pentru menținerea persistenței, malware-ul este conceput pentru a captura și transmite eficient informații sensibile de la gazdele compromise, funcționând ca un instrument valoros de recunoaștere.
TODDLERSHARK demonstrează caracteristicile comportamentului polimorf, manifestat prin modificări ale șirurilor de identitate din codul său, schimbând poziția codului prin codul nedorit generat și utilizând URL-uri de comandă și control (C2) generate în mod unic. Aceste caracteristici contribuie la potențiala provocare de a detecta acest malware în anumite medii.
Măsuri recomandate de cercetătorii în domeniul securității cibernetice împotriva programelor malware TODDLESHARK
Pentru a spori securitatea sistemelor care rulează ConnectWise ScreenConnect versiunile 23.9.7 și anterioare, este esențială o acțiune imediată. Respectarea instrucțiunilor subliniate în avizul ConnectWise este crucială pentru a aborda eventualele compromisuri. Este imperativ să se prioritizeze protecția și monitorizarea sistemelor, în special a celor accesibile pe Internet. Acest lucru poate fi realizat prin implementarea unui instrument de detectare și răspuns (EDR) sau anti-malware configurat special pentru a efectua scanări amănunțite ale sistemului pentru webshell.
În plus, se recomandă implementarea sau configurarea unui Web Application Firewall (WAF) sau a unui sistem comparabil de monitorizare a traficului web. Această măsură facilitează analiza în timp real, oferind capacități de detectare îmbunătățite în cazul unei potențiale exploatări, contribuind la o infrastructură de securitate mai robustă și mai rezistentă.
