Malware TODDLESHARK

Ekspertët e sigurisë kibernetike kanë identifikuar një malware të ri të quajtur TODDLERSHARK, i vendosur nga aktorët e kërcënimit të Koresë së Veriut, të cilët kanë përfituar nga dobësitë e sigurisë të zbuluara së fundmi në ConnectWise ScreenConnect. Një raport tregon se TODDLERSHARK ndan ngjashmëri me malware të njohur më parë Kimsuky, duke përfshirë BabyShark dhe ReconShark.

Aktorët e lidhur me mashtrimin hynë në stacionin e punës të viktimës duke shfrytëzuar dobësitë në magjistarin e konfigurimit të aplikacionit ScreenConnect. Me këtë akses në tastierë praktike, ata përdorën cmd.exe për të ekzekutuar mshta.exe, duke përfshirë një URL të lidhur me malware të bazuar në Visual Basic (VB).

Dobësitë në qendër të shqetësimeve të sigurisë së ConnectWise janë CVE-2024-1708 dhe CVE-2024-1709. Që kur këto dobësi u ekspozuan, aktorë të shumtë të kërcënimit i kanë shfrytëzuar gjerësisht ato. Këta aktorë keqdashës kanë përdorur dobësitë për të shpërndarë një sërë ngarkesash të pasigurta, duke përfshirë minatorët e kriptomonedhave, ransomware, Trojans RATS me qasje në distancë) dhe malware vjedhës.

Kriminelët kibernetikë Kimsuky janë ndër më aktivët

Grupi Kimsuky Advanced Persistent Threat (APT), i njohur nga pseudonime të ndryshme si APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (ish Thallium), KTA082, Nickel Kimball dhe Velvet Chollima, ka zgjeruar vazhdimisht repertorin e veglave të tij të mallit. Ndër shtesat më të fundit janë GoBear dhe Troll Stealer.

I identifikuar për herë të parë në fund të vitit 2018, BabyShark u inicua përmes një skedari të Aplikacionit HTML (HTA). Pas ekzekutimit, ky malware i skriptit VB nxjerr informacionin e sistemit dhe e dërgon atë në një server Command-and-Control (C2). Për më tepër, BabyShark vendos këmbëngulje në sistem, në pritje të udhëzimeve të mëtejshme nga operatori.

Në maj 2023, u zbulua një variant i BabyShark, i quajtur ReconShark. Ai u dorëzua përmes postës elektronike spear-phishing, duke synuar veçanërisht individët, duke treguar evolucionin dhe përshtatshmërinë e vazhdueshme të grupit APT në operacionet e tyre kibernetike.

Malware TODDLESHARK besohet të jetë një evolucion i kërcënimeve të mëparshme Kimsuki

TODDLERSHARK konsiderohet përsëritja më e fundit e të njëjtit malware, e dukshme si nga kodi ashtu edhe nga ngjashmëritë e sjelljes. Përveç përdorimit të një detyre të planifikuar për ruajtjen e qëndrueshmërisë, malware është krijuar për të kapur dhe transmetuar në mënyrë efektive informacione të ndjeshme nga hostet e komprometuar, duke funksionuar si një mjet i vlefshëm zbulimi.

TODDLERSHARK demonstron karakteristika të sjelljes polimorfike, të manifestuara përmes ndryshimeve në vargjet e identitetit brenda kodit të tij, duke zhvendosur pozicionin e kodit përmes kodit të gjeneruar të hedhurinave dhe duke përdorur URL-të e komandës dhe kontrollit (C2) të gjeneruara në mënyrë unike. Këto veçori kontribuojnë në sfidën e mundshme të zbulimit të këtij malware në mjedise të caktuara.

Masat e rekomanduara nga studiuesit e sigurisë kibernetike kundër malware TODDLESHARK

Për të rritur sigurinë e sistemeve që ekzekutojnë versionet 23.9.7 dhe më të hershme të ConnectWise ScreenConnect, veprimi i menjëhershëm është thelbësor. Ndjekja e udhëzimeve të përshkruara në këshillën e ConnectWise është thelbësore për të adresuar kompromise të mundshme. Është e domosdoshme t'i jepet përparësi mbrojtjes dhe monitorimit të sistemeve, veçanërisht atyre të aksesueshme në internet. Kjo mund të arrihet duke vendosur një mjet për zbulimin dhe përgjigjen e pikës fundore (EDR) ose mjetin anti-malware të konfiguruar posaçërisht për të kryer skanime të plota të sistemit për webshells.

Për më tepër, rekomandohet zbatimi ose konfigurimi i një muri zjarri të aplikacionit në ueb (WAF) ose i një sistemi të krahasueshëm të monitorimit të trafikut në ueb. Kjo masë lehtëson analizën në kohë reale, duke ofruar aftësi të zgjeruara zbulimi në rast të shfrytëzimit të mundshëm, duke kontribuar në një infrastrukturë sigurie më të fuqishme dhe më elastike.