ТОДДЛЕСХАРК Малвер
Стручњаци за сајбер безбедност идентификовали су нови малвер под називом ТОДДЛЕРСХАРК, који су применили севернокорејски актери претњи који су искористили недавно откривене безбедносне пропусте у ЦоннецтВисе СцреенЦоннецт-у. Извештај указује да ТОДДЛЕРСХАРК дели сличности са раније познатим Кимсуки малвером, укључујући БабиСхарк и РецонСхарк.
Актери повезани са преваром приступили су радној станици жртве искоришћавањем рањивости у чаробњаку за подешавање апликације СцреенЦоннецт. Са овим „практичним“ приступом са тастатуре, користили су цмд.еке да изврше мсхта.еке, укључујући УРЛ повезану са малвером заснованим на Висуал Басиц-у (ВБ).
Рањивости у центру безбедносних проблема ЦоннецтВисе су ЦВЕ-2024-1708 и ЦВЕ-2024-1709. Пошто су ове рањивости откривене, вишеструки актери претњи су их у великој мери искористили. Ови злонамерни актери су искористили рањивости за дистрибуцију низа небезбедних корисних података, укључујући рударе криптовалута, рансомваре, тројанске програме за даљински приступ РАТС) и малвер за крађу.
Преглед садржаја
Кимсуки сајбер криминалци су међу најактивнијима
Група Кимсуки Адванцед Персистент Тхреат (АПТ), препозната по разним псеудонима као што су АПТ43, АРЦХИПЕЛАГО, Блацк Бансхее, Емералд Слеет (раније Тхаллиум), КТА082, Ницкел Кимбалл и Велвет Цхоллима, доследно је ширила свој репертоар алата за малвер. Међу најновијим додацима су ГоБеар и Тролл Стеалер.
Први пут идентификован крајем 2018. године, БабиСхарк је покренут путем датотеке ХТМЛ апликације (ХТА). По извршењу, овај злонамерни софтвер ВБ скрипте издваја системске информације и шаље их серверу за команду и контролу (Ц2). Поред тога, БабиСхарк успоставља постојаност на систему, чекајући даља упутства од оператера.
У мају 2023. откривена је варијанта БабиСхарк-а, названа РецонСхарк. Достављен је путем е-порука за крађу идентитета, посебно усмерених на појединце, показујући текућу еволуцију и прилагодљивост АПТ групе у њиховим сајбер операцијама.
Верује се да је злонамерни софтвер ТОДДЛЕСХАРК еволуција претходних Кимсуки претњи
ТОДДЛЕРСХАРК се сматра најновијом итерацијом истог малвера, што је видљиво и из кода и из сличности у понашању. Осим што користи планирани задатак за одржавање постојаности, малвер је дизајниран да ефикасно ухвати и преноси осетљиве информације са компромитованих хостова, функционишући као вредан алат за извиђање.
ТОДДЛЕРСХАРК демонстрира карактеристике полиморфног понашања, које се манифестује кроз измене низова идентитета унутар свог кода, померање позиције кода кроз генерисани нежељени код и коришћење јединствено генерисаних командних и контролних (Ц2) УРЛ-ова. Ове карактеристике доприносе потенцијалном изазову откривања овог малвера у одређеним окружењима.
Мере које препоручују истраживачи сајбер безбедности против малвера ТОДДЛЕСХАРК
Да бисте побољшали безбедност система који користе ЦоннецтВисе СцреенЦоннецт верзије 23.9.7 и раније, неопходна је хитна акција. Праћење смерница наведених у ЦоннецтВисе савету је кључно за решавање потенцијалних компромиса. Неопходно је дати приоритет заштити и надгледању система, посебно оних који су доступни на Интернету. Ово се може постићи применом алата за откривање и одговор крајње тачке (ЕДР) или алата за заштиту од малвера који је посебно конфигурисан да спроведе темељно скенирање система у потрази за веб шкољкама.
Поред тога, препоручује се имплементација или конфигурација заштитног зида за веб апликације (ВАФ) или упоредивог система за праћење веб саобраћаја. Ова мера олакшава анализу у реалном времену, нудећи побољшане могућности откривања у случају потенцијалне експлоатације, доприносећи робуснијој и отпорнијој безбедносној инфраструктури.
