TODDLESHARK Zlonamerna programska oprema
Strokovnjaki za kibernetsko varnost so odkrili novo zlonamerno programsko opremo z imenom TODDLERSHARK, ki so jo namestili severnokorejski akterji groženj, ki so izkoristili nedavno razkrite varnostne ranljivosti v ConnectWise ScreenConnect. Poročilo navaja, da ima TODDLERSHARK podobnosti s prej znano zlonamerno programsko opremo Kimsuky, vključno z BabyShark in ReconShark.
Akterji, povezani z goljufijo, so dostopali do delovne postaje žrtve z izkoriščanjem ranljivosti v čarovniku za namestitev aplikacije ScreenConnect. S tem 'praktičnim dostopom s tipkovnico' so za izvajanje mshta.exe uporabili cmd.exe, ki je vključeval URL, povezan z zlonamerno programsko opremo, ki temelji na Visual Basicu (VB).
Ranljivosti v središču varnostnih skrbi ConnectWise so CVE-2024-1708 in CVE-2024-1709. Odkar so bile te ranljivosti razkrite, jih je več akterjev groženj v veliki meri izkoristilo. Ti zlonamerni akterji so izkoristili ranljivosti za distribucijo vrste nevarnega koristnega tovora, vključno z rudarji kriptovalut, izsiljevalsko programsko opremo, trojanci za oddaljeni dostop RATS) in ukradljivo zlonamerno programsko opremo.
Kazalo
Kibernetski kriminalci Kimsuky so med najbolj aktivnimi
Skupina Kimsuky Advanced Persistent Threat (APT), prepoznavna po različnih vzdevkih, kot so APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (prej Thallium), KTA082, Nickel Kimball in Velvet Chollima, je dosledno razširila svoj repertoar orodij zlonamerne programske opreme. Med najnovejšimi dodatki sta GoBear in Troll Stealer.
BabyShark, ki je bil prvič identificiran konec leta 2018, je bil sprožen prek datoteke HTML Application (HTA). Po izvedbi ta zlonamerna programska oprema skripta VB izvleče sistemske informacije in jih pošlje strežniku za ukazovanje in nadzor (C2). Poleg tega BabyShark vztraja v sistemu in čaka na nadaljnja navodila operaterja.
Maja 2023 je bila odkrita različica BabyShark, imenovana ReconShark. Dostavljeno je bilo prek e-poštnih sporočil z lažnim predstavljanjem, posebej usmerjenih na posameznike, ki prikazujejo stalen razvoj in prilagodljivost skupine APT v njihovih kibernetskih operacijah.
Zlonamerna programska oprema TODDLESHARK naj bi bila evolucija prejšnjih groženj Kimsuki
TODDLERSHARK velja za najnovejšo ponovitev iste zlonamerne programske opreme, kar je razvidno iz kode in vedenjskih podobnosti. Poleg uporabe načrtovane naloge za vzdrževanje obstojnosti je zlonamerna programska oprema zasnovana tako, da učinkovito zajema in prenaša občutljive informacije z ogroženih gostiteljev, kar deluje kot dragoceno orodje za izvidovanje.
TODDLERSHARK prikazuje značilnosti polimorfnega vedenja, ki se kaže s spremembami v nizih identitete znotraj svoje kode, premikanjem položaja kode prek generirane neželene kode in uporabo edinstveno generiranih URL-jev ukazov in nadzora (C2). Te funkcije prispevajo k potencialnemu izzivu odkrivanja te zlonamerne programske opreme v določenih okoljih.
Ukrepi, ki jih priporočajo raziskovalci kibernetske varnosti proti zlonamerni programski opremi TODDLESHARK
Za izboljšanje varnosti sistemov, v katerih se izvaja ConnectWise ScreenConnect različice 23.9.7 in starejše, je nujno takojšnje ukrepanje. Upoštevanje smernic, navedenih v nasvetu ConnectWise, je ključnega pomena za obravnavanje morebitnih kompromisov. Nujno je treba dati prednost zaščiti in nadzoru sistemov, zlasti tistih, ki so dostopni na internetu. To je mogoče doseči z uvedbo orodja za zaznavanje in odziv končne točke (EDR) ali orodja za zaščito pred zlonamerno programsko opremo, ki je posebej konfigurirano za izvajanje temeljitih pregledov sistema za spletne lupine.
Poleg tega je priporočljiva implementacija ali konfiguracija požarnega zidu spletne aplikacije (WAF) ali primerljivega sistema za spremljanje spletnega prometa. Ta ukrep omogoča analizo v realnem času, ponuja izboljšane zmogljivosti zaznavanja v primeru morebitnega izkoriščanja, kar prispeva k robustnejši in odpornejši varnostni infrastrukturi.
