TODDLESHARK మాల్వేర్

Cybersecurity నిపుణులు TODDLERSHARK అనే కొత్త మాల్వేర్‌ను గుర్తించారు, ఇది ConnectWise ScreenConnectలో ఇటీవల వెల్లడైన భద్రతా లోపాలను సద్వినియోగం చేసుకున్న ఉత్తర కొరియాకు చెందిన బెదిరింపు నటులచే అమలు చేయబడింది. BabyShark మరియు ReconSharkతో సహా గతంలో తెలిసిన Kimsuky మాల్వేర్‌తో TODDLERSHARK సారూప్యతలను పంచుకుంటుందని ఒక నివేదిక సూచిస్తుంది.

ScreenConnect అప్లికేషన్ సెటప్ విజార్డ్‌లోని దుర్బలత్వాలను ఉపయోగించడం ద్వారా మోసానికి సంబంధించిన నటీనటులు బాధితుల వర్క్‌స్టేషన్‌ను యాక్సెస్ చేశారు. ఈ 'హ్యాండ్-ఆన్ కీబోర్డ్' యాక్సెస్‌తో, వారు mshta.exeని అమలు చేయడానికి cmd.exeని ఉపయోగించారు, విజువల్ బేసిక్ (VB) ఆధారిత మాల్‌వేర్‌కి లింక్ చేయబడిన URLని చేర్చారు.

ConnectWise భద్రతా సమస్యల మధ్యలో ఉన్న దుర్బలత్వాలు CVE-2024-1708 మరియు CVE-2024-1709. ఈ దుర్బలత్వాలు బహిర్గతం అయినప్పటి నుండి, అనేక మంది ముప్పు నటులు వాటిని విస్తృతంగా ఉపయోగించుకున్నారు. ఈ దుర్మార్గపు నటులు క్రిప్టోకరెన్సీ మైనర్లు, ransomware, రిమోట్ యాక్సెస్ ట్రోజన్స్ RATS) మరియు స్టీలర్ మాల్వేర్‌లతో సహా అసురక్షిత పేలోడ్‌ల శ్రేణిని పంపిణీ చేయడానికి దుర్బలత్వాలను ఉపయోగించారు.

కిమ్సుకీ సైబర్ నేరగాళ్లు అత్యంత యాక్టివ్‌గా ఉన్నారు

APT43, ఆర్కిపెలాగో, బ్లాక్ బాన్‌షీ, ఎమరాల్డ్ స్లీట్ (గతంలో థాలియం), KTA082, నికెల్ కింబాల్ మరియు వెల్వెట్ చోల్లిమా వంటి వివిధ మారుపేర్లచే గుర్తించబడిన కిమ్‌సుకీ అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) సమూహం, దాని మాల్‌వేర్ సాధనాలను స్థిరంగా విస్తరించింది. తాజా జోడింపులలో గోబేర్ మరియు ట్రోల్ స్టీలర్ ఉన్నాయి.

2018 చివరిలో మొదటిసారిగా గుర్తించబడిన బేబీషార్క్ HTML అప్లికేషన్ (HTA) ఫైల్ ద్వారా ప్రారంభించబడింది. అమలు చేసిన తర్వాత, ఈ VB స్క్రిప్ట్ మాల్వేర్ సిస్టమ్ సమాచారాన్ని సంగ్రహిస్తుంది మరియు దానిని కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌కు పంపుతుంది. అదనంగా, బేబీషార్క్ ఆపరేటర్ నుండి తదుపరి సూచనల కోసం ఎదురుచూస్తూ సిస్టమ్‌పై పట్టుదలను ఏర్పరుస్తుంది.

మే 2023లో, ReconShark పేరుతో బేబీషార్క్ యొక్క వేరియంట్ కనుగొనబడింది. ఇది స్పియర్-ఫిషింగ్ ఇమెయిల్‌ల ద్వారా పంపిణీ చేయబడింది, ప్రత్యేకంగా వ్యక్తులను లక్ష్యంగా చేసుకుంటుంది, APT సమూహం యొక్క కొనసాగుతున్న పరిణామం మరియు వారి సైబర్ కార్యకలాపాలలో అనుకూలతను ప్రదర్శిస్తుంది.

TODDLESHARK మాల్వేర్ మునుపటి కిమ్సుకి బెదిరింపుల పరిణామంగా నమ్ముతారు

TODDLERSHARK అదే మాల్వేర్ యొక్క తాజా పునరావృతంగా పరిగణించబడుతుంది, ఇది కోడ్ మరియు ప్రవర్తనా సారూప్యతలు రెండింటి నుండి స్పష్టంగా కనిపిస్తుంది. నిలకడను కొనసాగించడం కోసం షెడ్యూల్ చేసిన పనిని ఉపయోగించడమే కాకుండా, మాల్వేర్ రాజీపడిన హోస్ట్‌ల నుండి సున్నితమైన సమాచారాన్ని సమర్థవంతంగా క్యాప్చర్ చేయడానికి మరియు ప్రసారం చేయడానికి రూపొందించబడింది, ఇది విలువైన నిఘా సాధనంగా పనిచేస్తుంది.

TODDLERSHARK పాలిమార్ఫిక్ ప్రవర్తన యొక్క లక్షణాలను ప్రదర్శిస్తుంది, దాని కోడ్‌లోని గుర్తింపు స్ట్రింగ్‌లలో మార్పుల ద్వారా వ్యక్తమవుతుంది, ఉత్పత్తి చేయబడిన జంక్ కోడ్ ద్వారా కోడ్ స్థానాన్ని మార్చడం మరియు ప్రత్యేకంగా రూపొందించబడిన కమాండ్ మరియు కంట్రోల్ (C2) URLలను ఉపయోగించడం. ఈ ఫీచర్‌లు నిర్దిష్ట పరిసరాలలో ఈ మాల్‌వేర్‌ను గుర్తించే సంభావ్య సవాలుకు దోహదం చేస్తాయి.

TODDLESHARK మాల్వేర్‌కు వ్యతిరేకంగా సైబర్‌ సెక్యూరిటీ పరిశోధకులు సిఫార్సు చేసిన చర్యలు

ConnectWise ScreenConnect సంస్కరణలు 23.9.7 మరియు అంతకు ముందు నడుస్తున్న సిస్టమ్‌ల భద్రతను మెరుగుపరచడానికి, తక్షణ చర్య అవసరం. సంభావ్య రాజీలను పరిష్కరించడానికి ConnectWise సలహాలో వివరించిన మార్గదర్శకాలను అనుసరించడం చాలా ముఖ్యం. సిస్టమ్‌ల రక్షణ మరియు పర్యవేక్షణకు ప్రాధాన్యత ఇవ్వడం అత్యవసరం, ముఖ్యంగా ఇంటర్నెట్‌లో అందుబాటులో ఉండేవి. వెబ్‌షెల్‌ల కోసం సమగ్రమైన సిస్టమ్ స్కాన్‌లను నిర్వహించడానికి ప్రత్యేకంగా కాన్ఫిగర్ చేయబడిన ఎండ్‌పాయింట్ డిటెక్షన్ మరియు రెస్పాన్స్ (EDR) లేదా యాంటీ-మాల్వేర్ సాధనాన్ని అమలు చేయడం ద్వారా దీనిని సాధించవచ్చు.

అదనంగా, వెబ్ అప్లికేషన్ ఫైర్‌వాల్ (WAF) లేదా పోల్చదగిన వెబ్ ట్రాఫిక్ మానిటరింగ్ సిస్టమ్ యొక్క అమలు లేదా కాన్ఫిగరేషన్ సిఫార్సు చేయబడింది. ఈ కొలత నిజ-సమయ విశ్లేషణను సులభతరం చేస్తుంది, సంభావ్య దోపిడీ సందర్భంలో మెరుగైన గుర్తింపు సామర్థ్యాలను అందిస్తుంది, మరింత పటిష్టమైన మరియు స్థితిస్థాపకంగా ఉండే భద్రతా అవస్థాపనకు దోహదపడుతుంది.