TODDLESHARK Kötü Amaçlı Yazılım
Siber güvenlik uzmanları, ConnectWise ScreenConnect'te yakın zamanda ortaya çıkan güvenlik açıklarından yararlanan Kuzey Koreli tehdit aktörleri tarafından konuşlandırılan, TODDLERSHARK adlı yeni bir kötü amaçlı yazılım tespit etti. Bir rapor, TODDLERSHARK'ın BabyShark ve ReconShark dahil olmak üzere daha önce bilinen Kimsuky kötü amaçlı yazılımlarıyla benzerlikler paylaştığını gösteriyor.
Dolandırıcılıkla ilgili aktörler, ScreenConnect uygulamasının kurulum sihirbazındaki güvenlik açıklarından yararlanarak kurbanın iş istasyonuna erişti. Bu 'uygulamalı klavye' erişimiyle, mshta.exe'yi çalıştırmak için Visual Basic (VB) tabanlı kötü amaçlı yazılıma bağlı bir URL içeren cmd.exe'yi kullandılar.
ConnectWise güvenlik endişelerinin merkezindeki güvenlik açıkları CVE-2024-1708 ve CVE-2024-1709'dur. Bu güvenlik açıkları açığa çıktığından beri, birden fazla tehdit aktörü bunları kapsamlı bir şekilde istismar etti. Bu kötü niyetli aktörler, kripto para madencileri, fidye yazılımları, Uzaktan Erişim Truva Atları (RATS) ve hırsız kötü amaçlı yazılımlar da dahil olmak üzere bir dizi güvenli olmayan veri yükünü dağıtmak için güvenlik açıklarından yararlandı.
İçindekiler
Kimsuky Siber Suçluları En Aktif Olanlar Arasında
APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (eski adıyla Thallium), KTA082, Nickel Kimball ve Velvet Chollima gibi çeşitli takma adlarla tanınan Kimsuky Gelişmiş Kalıcı Tehdit (APT) grubu, kötü amaçlı yazılım araçları repertuarını sürekli olarak genişletti. En son eklenenler arasında GoBear ve Troll Stealer yer alıyor.
İlk olarak 2018'in sonlarında tanımlanan BabyShark, bir HTML Uygulaması (HTA) dosyası aracılığıyla başlatıldı. Bu VB komut dosyası kötü amaçlı yazılımı yürütüldükten sonra sistem bilgilerini çıkarır ve bunu bir Komuta ve Kontrol (C2) sunucusuna gönderir. Ek olarak BabyShark, operatörden gelecek talimatları bekleyerek sistemde kalıcılık sağlar.
Mayıs 2023'te BabyShark'ın ReconShark adlı bir çeşidi tespit edildi. Bu mesaj, özellikle bireyleri hedef alan hedef odaklı kimlik avı e-postaları aracılığıyla iletildi ve APT grubunun siber operasyonlarında devam eden evrimini ve uyarlanabilirliğini ortaya koydu.
TODDLESHARK Kötü Amaçlı Yazılımının Önceki Kimsuki Tehditlerinin Bir Evrimi Olduğuna İnanılıyor
TODDLERSHARK, aynı kötü amaçlı yazılımın en son sürümü olarak kabul ediliyor; bu, hem kod hem de davranışsal benzerliklerden açıkça görülüyor. Kalıcılığı korumak için zamanlanmış bir görevden yararlanmanın yanı sıra, kötü amaçlı yazılım, güvenliği ihlal edilmiş ana bilgisayarlardan gelen hassas bilgileri etkili bir şekilde yakalamak ve iletmek için tasarlanmıştır ve değerli bir keşif aracı olarak işlev görür.
TODDLERSHARK, kodu içindeki kimlik dizelerindeki değişikliklerle, oluşturulan önemsiz kod yoluyla kodun konumunu değiştirmeyle ve benzersiz şekilde oluşturulmuş Komuta ve Kontrol (C2) URL'lerini kullanmayla kendini gösteren polimorfik davranış özellikleri gösterir. Bu özellikler, belirli ortamlarda bu kötü amaçlı yazılımın tespit edilmesindeki potansiyel zorluklara katkıda bulunur.
TODDLESHARK Kötü Amaçlı Yazılıma Karşı Siber Güvenlik Araştırmacılarının Önerdiği Önlemler
ConnectWise ScreenConnect 23.9.7 ve önceki sürümlerini çalıştıran sistemlerin güvenliğini artırmak için acil eylem gereklidir. ConnectWise danışma belgesinde belirtilen yönergelere uymak, olası riskleri gidermek için çok önemlidir. Sistemlerin, özellikle de internet üzerinden erişilebilen sistemlerin korunmasına ve izlenmesine öncelik verilmesi zorunludur. Bu, web kabukları için kapsamlı sistem taramaları gerçekleştirmek üzere özel olarak yapılandırılmış bir uç nokta algılama ve yanıt (EDR) veya kötü amaçlı yazılımdan koruma aracının dağıtılmasıyla gerçekleştirilebilir.
Ek olarak, bir Web Uygulaması Güvenlik Duvarı'nın (WAF) veya benzer bir web trafiği izleme sisteminin uygulanması veya yapılandırılması önerilir. Bu önlem, gerçek zamanlı analizi kolaylaştırır, potansiyel istismar durumunda gelişmiş tespit yetenekleri sunarak daha sağlam ve dayanıklı bir güvenlik altyapısına katkıda bulunur.
