TODDLESHARK Skadlig programvara
Cybersäkerhetsexperter har identifierat en ny skadlig programvara vid namn TODDLERSHARK, utplacerad av nordkoreanska hotaktörer som utnyttjade nyligen avslöjade säkerhetsbrister i ConnectWise ScreenConnect. En rapport indikerar att TODDLERSHARK delar likheter med tidigare känd skadlig kod från Kimsuky, inklusive BabyShark och ReconShark.
De bedrägerirelaterade aktörerna fick tillgång till offrets arbetsstation genom att utnyttja sårbarheter i ScreenConnect-programmets installationsguide. Med denna "hands-on tangentbord"-åtkomst använde de cmd.exe för att köra mshta.exe, med en URL länkad till Visual Basic (VB)-baserad skadlig programvara.
Sårbarheterna i centrum för ConnectWise-säkerhetsproblemen är CVE-2024-1708 och CVE-2024-1709. Sedan dessa sårbarheter avslöjades har flera hotaktörer i stor utsträckning utnyttjat dem. Dessa illvilliga aktörer har utnyttjat sårbarheterna för att distribuera en rad osäkra nyttolaster, inklusive gruvarbetare för kryptovaluta, ransomware, Remote Access Trojans RATS) och skadlig programvara.
Innehållsförteckning
Kimsuky cyberkriminella är bland de mest aktiva
Kimsuky Advanced Persistent Threat (APT)-gruppen, som känns igen av olika alias som APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (tidigare Thallium), KTA082, Nickel Kimball och Velvet Chollima, har konsekvent utökat sin repertoar av skadliga verktyg. Bland de senaste tillskotten finns GoBear och Troll Stealer.
BabyShark, som först identifierades i slutet av 2018, initierades genom en HTML Application (HTA) fil. Vid körning extraherar detta VB-skript skadlig programvara systeminformation och skickar den till en Command-and-Control-server (C2). Dessutom etablerar BabyShark uthållighet på systemet, i väntan på ytterligare instruktioner från operatören.
I maj 2023 upptäcktes en variant av BabyShark, som heter ReconShark. Den levererades genom e-postmeddelanden med nätfiske, specifikt riktade till individer, som visade upp APT-gruppens pågående utveckling och anpassningsförmåga i deras cyberverksamhet.
TODDLESHARK Malware tros vara en utveckling av tidigare Kimsuki-hot
TODDLERSHARK anses vara den senaste iterationen av samma skadliga program, uppenbart från både kod och beteendemässiga likheter. Förutom att använda en schemalagd uppgift för att upprätthålla persistens, är skadlig programvara designad för att effektivt fånga och överföra känslig information från komprometterade värdar, och fungerar som ett värdefullt spaningsverktyg.
TODDLERSHARK demonstrerar egenskaper hos polymorft beteende, manifesterat genom förändringar i identitetssträngar i dess kod, förskjutning av kodens position genom genererad skräpkod och genom att använda unikt genererade Command and Control (C2) URL:er. Dessa funktioner bidrar till den potentiella utmaningen att upptäcka denna skadliga programvara i vissa miljöer.
Åtgärder som rekommenderas av cybersäkerhetsforskare mot TODDLESHARK Malware
För att förbättra säkerheten för system som kör ConnectWise ScreenConnect version 23.9.7 och tidigare, är omedelbar åtgärd nödvändig. Att följa riktlinjerna som beskrivs i ConnectWise-rådgivningen är avgörande för att hantera potentiella kompromisser. Det är absolut nödvändigt att prioritera skydd och övervakning av system, särskilt de som är tillgängliga på Internet. Detta kan uppnås genom att implementera ett endpoint detection and response (EDR) eller anti-malware-verktyg som är specifikt konfigurerat för att utföra grundliga systemsökningar efter webbskal.
Dessutom rekommenderas implementering eller konfiguration av en brandvägg för webbapplikationer (WAF) eller ett jämförbart system för övervakning av webbtrafik. Denna åtgärd underlättar realtidsanalys, erbjuder förbättrade detektionsmöjligheter i händelse av potentiell exploatering, vilket bidrar till en mer robust och motståndskraftig säkerhetsinfrastruktur.
