Malvér TODDLESHARK
Odborníci na kybernetickú bezpečnosť identifikovali nový malvér s názvom TODDLERSHARK, ktorý nasadili severokórejskí aktéri hrozieb, ktorí využili nedávno odhalené bezpečnostné slabiny v ConnectWise ScreenConnect. Správa naznačuje, že TODDLERSHARK zdieľa podobnosti s predtým známym malvérom Kimsuky, vrátane BabyShark a ReconShark.
Aktéri súvisiaci s podvodmi sa dostali na pracovnú stanicu obete zneužitím zraniteľností v sprievodcovi nastavením aplikácie ScreenConnect. S týmto prístupom „praktickej klávesnice“ použili cmd.exe na spustenie mshta.exe, ktorý obsahuje adresu URL prepojenú s malvérom založeným na jazyku Visual Basic (VB).
Zraniteľnosťami v centre bezpečnostných obáv ConnectWise sú CVE-2024-1708 a CVE-2024-1709. Odkedy boli tieto zraniteľné miesta odhalené, viacero aktérov hrozieb ich vo veľkej miere využívalo. Títo zlomyseľní aktéri využili zraniteľnosti na distribúciu množstva nebezpečných nákladov, vrátane baníkov kryptomien, ransomvéru, vzdialených trójskych koní RATS) a zlodejského malvéru.
Obsah
Kyberzločinci z Kimsuky patria medzi najaktívnejších
Skupina Kimsuky Advanced Persistent Threat (APT), známa pod rôznymi aliasmi ako APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (predtým Thallium), KTA082, Nickel Kimball a Velvet Chollima, neustále rozširuje svoj repertoár malvérových nástrojov. Medzi najnovšie prírastky patria GoBear a Troll Stealer.
Prvýkrát identifikovaný koncom roka 2018 bol BabyShark spustený prostredníctvom súboru aplikácie HTML (HTA). Po spustení tento malvér VB skriptu extrahuje systémové informácie a odošle ich na server Command-and-Control (C2). Okrem toho BabyShark zaisťuje pretrvávanie v systéme a čaká na ďalšie pokyny od operátora.
V máji 2023 bol zistený variant BabyShark s názvom ReconShark. Bol doručený prostredníctvom spear-phishingových e-mailov, ktoré sa špecificky zameriavali na jednotlivcov a prezentovali prebiehajúci vývoj a prispôsobivosť skupiny APT v ich kybernetickom fungovaní.
Predpokladá sa, že malvér TODDLESHARK je evolúciou predchádzajúcich hrozieb Kimsuki
TODDLERSHARK sa považuje za najnovšiu iteráciu rovnakého malvéru, čo je zrejmé z podobnosti kódu aj správania. Okrem využitia naplánovanej úlohy na udržanie perzistencie je malvér navrhnutý tak, aby efektívne zachytával a prenášal citlivé informácie od napadnutých hostiteľov, pričom funguje ako cenný prieskumný nástroj.
TODDLERSHARK demonštruje vlastnosti polymorfného správania, ktoré sa prejavuje zmenami v reťazcoch identity vo svojom kóde, posúvaním pozície kódu prostredníctvom generovaného nevyžiadaného kódu a využívaním jedinečne generovaných adries URL príkazov a riadenia (C2). Tieto funkcie prispievajú k potenciálnemu problému detekcie tohto malvéru v určitých prostrediach.
Opatrenia odporúčané výskumníkmi v oblasti kybernetickej bezpečnosti proti malvéru TODDLESHARK
Na zvýšenie bezpečnosti systémov so systémom ConnectWise ScreenConnect verzie 23.9.7 a staršej je nevyhnutná okamžitá akcia. Dodržiavanie pokynov uvedených v odporúčaní ConnectWise je rozhodujúce pre riešenie potenciálnych kompromisov. Je nevyhnutné uprednostniť ochranu a monitorovanie systémov, najmä tých, ktoré sú prístupné na internete. Dá sa to dosiahnuť nasadením detekcie a odozvy koncového bodu (EDR) alebo antimalvérového nástroja špecificky nakonfigurovaného na vykonávanie dôkladných systémových skenov webových shellov.
Okrem toho sa odporúča implementácia alebo konfigurácia brány Web Application Firewall (WAF) alebo porovnateľného systému na monitorovanie návštevnosti webu. Toto opatrenie uľahčuje analýzu v reálnom čase a ponúka vylepšené možnosti detekcie v prípade potenciálneho zneužitia, čo prispieva k robustnejšej a odolnejšej bezpečnostnej infraštruktúre.
