TODDLESHARK Malware
Natukoy ng mga eksperto sa cybersecurity ang isang bagong malware na pinangalanang TODDLERSHARK, na na-deploy ng mga aktor ng pagbabanta ng North Korea na sinamantala ang kamakailang nahayag na mga kahinaan sa seguridad sa ConnectWise ScreenConnect. Isinasaad ng isang ulat na ang TODDLERSHARK ay may mga pagkakatulad sa dating kilalang Kimsuky malware, kabilang ang BabyShark at ReconShark.
Na-access ng mga aktor na nauugnay sa panloloko ang workstation ng biktima sa pamamagitan ng pagsasamantala sa mga kahinaan sa setup wizard ng ScreenConnect application. Gamit ang 'hands-on na keyboard' na pag-access, gumamit sila ng cmd.exe upang maisagawa ang mshta.exe, na may kasamang URL na naka-link sa Visual Basic (VB) na nakabatay sa malware.
Ang mga kahinaan sa gitna ng mga alalahanin sa seguridad ng ConnectWise ay CVE-2024-1708 at CVE-2024-1709. Dahil nalantad ang mga kahinaang ito, malawakang pinagsamantalahan sila ng maraming banta. Ginamit ng mga masasamang aktor na ito ang mga kahinaan upang ipamahagi ang isang hanay ng mga hindi ligtas na kargamento, kabilang ang mga minero ng cryptocurrency, ransomware, Remote Access Trojans RATS), at magnanakaw ng malware.
Talaan ng mga Nilalaman
Ang Kimsuky Cybercriminals ay Kabilang sa Pinaka Aktibo
Ang grupong Kimsuky Advanced Persistent Threat (APT), na kinikilala ng iba't ibang alyas gaya ng APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (dating Thallium), KTA082, Nickel Kimball, at Velvet Chollima, ay patuloy na pinalawak ang repertoire nito ng mga tool sa malware. Kabilang sa mga pinakabagong karagdagan ang GoBear at Troll Stealer.
Unang natukoy noong huling bahagi ng 2018, pinasimulan ang BabyShark sa pamamagitan ng HTML Application (HTA) file. Kapag naisakatuparan, ang VB script na malware na ito ay kumukuha ng impormasyon ng system at ipinapadala ito sa isang Command-and-Control (C2) server. Bilang karagdagan, ang BabyShark ay nagtatatag ng pagtitiyaga sa system, naghihintay ng karagdagang mga tagubilin mula sa operator.
Noong Mayo 2023, may nakitang variant ng BabyShark, na pinangalanang ReconShark. Naihatid ito sa pamamagitan ng spear-phishing na mga email, partikular na nagta-target ng mga indibidwal, na nagpapakita ng patuloy na ebolusyon at kakayahang umangkop ng APT group sa kanilang mga cyber operations.
Ang TODDLESHARK Malware ay Pinaniniwalaang Ebolusyon ng Nakaraang Mga Banta sa Kimsuki
Ang TODDLERSHARK ay itinuturing na pinakabagong pag-ulit ng parehong malware, na makikita sa parehong code at mga pagkakahawig sa pag-uugali. Bukod sa paggamit ng naka-iskedyul na gawain para sa pagpapanatili ng pagtitiyaga, ang malware ay idinisenyo upang epektibong makuha at magpadala ng sensitibong impormasyon mula sa mga nakompromisong host, na gumagana bilang isang mahalagang tool sa reconnaissance.
Ang TODDLERSHARK ay nagpapakita ng mga katangian ng polymorphic na pag-uugali, na ipinakita sa pamamagitan ng mga pagbabago sa mga string ng pagkakakilanlan sa loob ng code nito, paglilipat ng posisyon ng code sa pamamagitan ng nabuong junk code, at paggamit ng mga natatanging nabuong Command at Control (C2) na URL. Nakakatulong ang mga feature na ito sa potensyal na hamon ng pag-detect ng malware na ito sa ilang partikular na kapaligiran.
Mga Panukala na Inirerekomenda ng Cybersecurity Researchers laban sa TODDLESHARK Malware
Upang mapahusay ang seguridad ng mga system na nagpapatakbo ng ConnectWise ScreenConnect na bersyon 23.9.7 at mas maaga, ang agarang pagkilos ay mahalaga. Ang pagsunod sa mga alituntuning nakabalangkas sa ConnectWise advisory ay napakahalaga upang matugunan ang mga potensyal na kompromiso. Kailangang bigyang-priyoridad ang proteksyon at pagsubaybay sa mga system, lalo na ang mga naa-access sa Internet. Magagawa ito sa pamamagitan ng pag-deploy ng endpoint detection and response (EDR) o anti-malware tool na partikular na na-configure upang magsagawa ng masusing pag-scan ng system para sa mga webshell.
Bilang karagdagan, ang pagpapatupad o pagsasaayos ng isang Web Application Firewall (WAF) o isang maihahambing na sistema ng pagsubaybay sa trapiko sa web ay inirerekomenda. Pinapadali ng panukalang ito ang real-time na pagsusuri, na nag-aalok ng mga pinahusay na kakayahan sa pagtuklas sa kaganapan ng potensyal na pagsasamantala, na nag-aambag sa isang mas matatag at nababanat na imprastraktura ng seguridad.
