มัลแวร์ TODDLESHARK
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ระบุมัลแวร์ตัวใหม่ชื่อ TODDLERSHARK ซึ่งใช้งานโดยผู้แสดงภัยคุกคามชาวเกาหลีเหนือที่ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่เปิดเผยเมื่อเร็ว ๆ นี้ใน ConnectWise ScreenConnect รายงานระบุว่า TODDLERSHARK มีความคล้ายคลึงกับมัลแวร์ Kimsuky ที่รู้จักก่อนหน้านี้ รวมถึง BabyShark และ ReconShark
ผู้ดำเนินการที่เกี่ยวข้องกับการฉ้อโกงเข้าถึงเวิร์กสเตชันของเหยื่อโดยใช้ช่องโหว่ในตัวช่วยสร้างการตั้งค่าของแอปพลิเคชัน ScreenConnect ด้วยการเข้าถึงแบบ 'แป้นพิมพ์บนมือ' พวกเขาใช้ cmd.exe เพื่อรัน mshta.exe โดยรวม URL ที่เชื่อมโยงกับมัลแวร์ที่ใช้ Visual Basic (VB)
ช่องโหว่ที่เป็นหัวใจสำคัญของข้อกังวลด้านความปลอดภัยของ ConnectWise คือ CVE-2024-1708 และ CVE-2024-1709 เนื่องจากช่องโหว่เหล่านี้ถูกเปิดเผย ผู้คุกคามหลายรายจึงได้ใช้ประโยชน์จากช่องโหว่เหล่านี้อย่างกว้างขวาง ผู้กระทำความผิดเหล่านี้ได้ใช้ช่องโหว่เพื่อกระจายเพย์โหลดที่ไม่ปลอดภัย รวมถึงเครื่องมือขุดเหมืองสกุลเงินดิจิทัล, แรนซัมแวร์, โทรจันการเข้าถึงระยะไกล RATS) และมัลแวร์ขโมย
สารบัญ
อาชญากรไซเบอร์ Kimsuky เป็นหนึ่งในกลุ่มที่มีการเคลื่อนไหวมากที่สุด
กลุ่ม Kimsuky Advanced Persistent Threat (APT) ซึ่งได้รับการยอมรับจากนามแฝงต่างๆ เช่น APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (เดิมชื่อ Thallium), KTA082, Nickel Kimball และ Velvet Chollima ได้ขยายขอบเขตเครื่องมือมัลแวร์อย่างต่อเนื่อง ผลิตภัณฑ์ใหม่ล่าสุด ได้แก่ GoBear และ Troll Stealer
BabyShark ระบุครั้งแรกในช่วงปลายปี 2018 เริ่มต้นผ่านไฟล์ HTML Application (HTA) เมื่อดำเนินการ มัลแวร์สคริปต์ VB นี้จะแยกข้อมูลระบบและส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C2) นอกจากนี้ BabyShark ยังยืนยันความคงอยู่ในระบบโดยรอคำแนะนำเพิ่มเติมจากผู้ปฏิบัติงาน
ในเดือนพฤษภาคม ปี 2023 มีการตรวจพบ BabyShark เวอร์ชันหนึ่งชื่อ ReconShark ข้อมูลดังกล่าวถูกส่งผ่านอีเมลฟิชชิ่งแบบพุ่งเป้า โดยกำหนดเป้าหมายไปที่บุคคลโดยเฉพาะ ซึ่งแสดงให้เห็นถึงวิวัฒนาการอย่างต่อเนื่องของกลุ่ม APT และความสามารถในการปรับตัวในการปฏิบัติการทางไซเบอร์
เชื่อกันว่ามัลแวร์ TODDLESHARK เป็นวิวัฒนาการของภัยคุกคาม Kimsuki ก่อนหน้านี้
TODDLERSHARK ถือเป็นมัลแวร์ตัวเดียวกันซ้ำล่าสุด ซึ่งเห็นได้จากทั้งโค้ดและพฤติกรรมที่คล้ายคลึงกัน นอกเหนือจากการใช้งานตามกำหนดเวลาเพื่อรักษาความคงอยู่ของมัลแวร์แล้ว มัลแวร์ยังได้รับการออกแบบให้จับและส่งข้อมูลที่ละเอียดอ่อนจากโฮสต์ที่ถูกบุกรุกได้อย่างมีประสิทธิภาพ โดยทำหน้าที่เป็นเครื่องมือสอดแนมอันทรงคุณค่า
TODDLERSHARK สาธิตลักษณะของพฤติกรรมแบบโพลีมอร์ฟิก ซึ่งแสดงออกผ่านการเปลี่ยนแปลงสตริงข้อมูลประจำตัวภายในโค้ด การเปลี่ยนตำแหน่งของโค้ดผ่านโค้ดขยะที่สร้างขึ้น และใช้ URL Command and Control (C2) ที่สร้างขึ้นโดยเฉพาะ คุณลักษณะเหล่านี้มีส่วนทำให้เกิดความท้าทายในการตรวจจับมัลแวร์นี้ในบางสภาพแวดล้อม
มาตรการที่แนะนำโดยนักวิจัยความปลอดภัยทางไซเบอร์เพื่อต่อต้านมัลแวร์ TODDLESHARK
เพื่อเพิ่มความปลอดภัยให้กับระบบที่ใช้ ConnectWise ScreenConnect เวอร์ชัน 23.9.7 และเก่ากว่า การดำเนินการทันทีถือเป็นสิ่งสำคัญ การปฏิบัติตามแนวทางที่ระบุไว้ในคำแนะนำของ ConnectWise เป็นสิ่งสำคัญอย่างยิ่งในการแก้ไขปัญหาการประนีประนอมที่อาจเกิดขึ้น จำเป็นต้องจัดลำดับความสำคัญของการป้องกันและการตรวจสอบระบบ โดยเฉพาะระบบที่เข้าถึงได้บนอินเทอร์เน็ต ซึ่งสามารถทำได้โดยการปรับใช้การตรวจจับจุดสิ้นสุดและการตอบสนอง (EDR) หรือเครื่องมือป้องกันมัลแวร์ที่กำหนดค่าไว้เป็นพิเศษเพื่อทำการสแกนระบบอย่างละเอียดสำหรับ webshell
นอกจากนี้ แนะนำให้ใช้หรือกำหนดค่า Web Application Firewall (WAF) หรือระบบตรวจสอบปริมาณการใช้ข้อมูลเว็บที่เทียบเคียงได้ มาตรการนี้อำนวยความสะดวกในการวิเคราะห์แบบเรียลไทม์ โดยนำเสนอความสามารถในการตรวจจับที่ได้รับการปรับปรุงในกรณีที่เกิดการแสวงหาผลประโยชน์ ซึ่งมีส่วนทำให้โครงสร้างพื้นฐานด้านความปลอดภัยที่แข็งแกร่งและยืดหยุ่นมากขึ้น
