Вредоносное ПО TODDLESHARK
Эксперты по кибербезопасности выявили новое вредоносное ПО под названием TODDLERSHARK, развернутое северокорейскими злоумышленниками, которые воспользовались недавно обнаруженными уязвимостями безопасности в ConnectWise ScreenConnect. В отчете указывается, что TODDLERSHARK имеет сходство с ранее известными вредоносными программами Kimsuky, включая BabyShark и ReconShark.
Злоумышленники получили доступ к рабочей станции жертвы, воспользовавшись уязвимостями в мастере настройки приложения ScreenConnect. Используя этот «практический доступ с клавиатуры», они использовали cmd.exe для запуска mshta.exe, включая URL-адрес, связанный с вредоносным ПО на основе Visual Basic (VB).
В центре проблем безопасности ConnectWise находятся уязвимости CVE-2024-1708 и CVE-2024-1709. С тех пор как эти уязвимости были обнаружены, многочисленные злоумышленники активно ими воспользовались. Эти злоумышленники использовали уязвимости для распространения ряда небезопасных полезных данных, включая майнеры криптовалют, программы-вымогатели, трояны удаленного доступа RATS) и вредоносные программы-воры.
Оглавление
Киберпреступники из Кимсуки — одни из самых активных
Группа Kimsuky Advanced Persistent Threat (APT), известная под различными псевдонимами, такими как APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (ранее Thallium), KTA082, Nickel Kimball и Velvet Chollima, последовательно расширяет свой репертуар вредоносных инструментов. Среди последних дополнений — GoBear и Troll Stealer.
Впервые обнаруженный в конце 2018 года, BabyShark был запущен через файл HTML-приложения (HTA). При выполнении этот вредоносный сценарий VB извлекает системную информацию и отправляет ее на сервер управления и контроля (C2). Кроме того, BabyShark устанавливает постоянство в системе, ожидая дальнейших инструкций от оператора.
В мае 2023 года был обнаружен вариант BabyShark под названием ReconShark. Оно было доставлено через целевые фишинговые электронные письма, специально нацеленные на отдельных лиц, демонстрируя постоянное развитие группы APT и ее адаптируемость в их кибероперациях.
Вредоносная программа TODDLESHARK считается развитием предыдущих угроз Kimsuki
TODDLERSHARK считается последней версией той же вредоносной программы, о чем свидетельствует сходство как кода, так и поведения. Помимо использования запланированной задачи для поддержания устойчивости, вредоносное ПО предназначено для эффективного сбора и передачи конфиденциальной информации со скомпрометированных хостов, выступая в качестве ценного инструмента разведки.
TODDLERSHARK демонстрирует характеристики полиморфного поведения, проявляющиеся в изменении идентификационных строк в его коде, смещении положения кода за счет сгенерированного ненужного кода и использовании уникальных URL-адресов управления и контроля (C2). Эти функции усложняют потенциальную проблему обнаружения этого вредоносного ПО в определенных средах.
Меры, рекомендованные исследователями кибербезопасности против вредоносного ПО TODDLESHARK
Для повышения безопасности систем, работающих под управлением ConnectWise ScreenConnect версий 23.9.7 и более ранних, необходимы немедленные действия. Следование рекомендациям, изложенным в рекомендациях ConnectWise, имеет решающее значение для устранения потенциальных компромиссов. Крайне важно уделять приоритетное внимание защите и мониторингу систем, особенно тех, которые доступны в Интернете. Этого можно достичь путем развертывания инструмента обнаружения и реагирования на конечных точках (EDR) или защиты от вредоносных программ, специально настроенного для проведения тщательного сканирования системы на наличие веб-оболочек.
Кроме того, рекомендуется внедрение или настройка брандмауэра веб-приложений (WAF) или аналогичной системы мониторинга веб-трафика. Эта мера облегчает анализ в режиме реального времени, предлагая расширенные возможности обнаружения в случае потенциальной эксплуатации, способствуя созданию более надежной и отказоустойчивой инфраструктуры безопасности.
