Шкідливе програмне забезпечення TODDLESHARK
Експерти з кібербезпеки ідентифікували нове шкідливе програмне забезпечення під назвою TODDLERSHARK, яке розгорнули північнокорейські загрозливі особи, які скористалися нещодавно виявленими вразливими місцями безпеки в ConnectWise ScreenConnect. У звіті зазначено, що TODDLERSHARK схожий на раніше відоме шкідливе програмне забезпечення Kimsuky, зокрема BabyShark і ReconShark.
Зловмисники, пов’язані з шахрайством, отримали доступ до робочої станції жертви, скориставшись уразливістю майстра налаштування програми ScreenConnect. Маючи доступ до «практичної клавіатури», вони використовували cmd.exe для виконання mshta.exe, що містить URL-адресу, пов’язану зі зловмисним програмним забезпеченням на основі Visual Basic (VB).
Уразливості в центрі проблем безпеки ConnectWise — це CVE-2024-1708 і CVE-2024-1709. Після того, як ці вразливості були виявлені, численні суб’єкти загроз активно використовували їх. Ці зловмисники використовували вразливості для розповсюдження ряду небезпечних корисних навантажень, зокрема майнерів криптовалюти, програм-вимагачів, троянів віддаленого доступу RATS) і шкідливих програм-викрадачів.
Зміст
Кіберзлочинці Kimsuky є одними з найактивніших
Група Kimsuky Advanced Persistent Threat (APT), відома під різними псевдонімами, такими як APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (раніше Thallium), KTA082, Nickel Kimball і Velvet Chollima, постійно розширює свій репертуар шкідливих програмних засобів. Серед останніх доповнень GoBear і Troll Stealer.
Вперше виявлений наприкінці 2018 року, BabyShark був ініційований через файл HTML-додатка (HTA). Після виконання цей сценарій VB зловмисне програмне забезпечення витягує системну інформацію та надсилає її на сервер командування та керування (C2). Крім того, BabyShark встановлює постійність у системі, очікуючи подальших інструкцій від оператора.
У травні 2023 року був виявлений варіант BabyShark під назвою ReconShark. Він був надісланий через фішингові електронні листи, спрямовані, зокрема, на окремих осіб, демонструючи постійну еволюцію та адаптивність групи APT у своїх кіберопераціях.
Вважається, що зловмисне програмне забезпечення TODDLESHARK є розвитком попередніх загроз Kimsuki
TODDLERSHARK вважається останньою ітерацією того самого зловмисного програмного забезпечення, про що свідчить як код, так і поведінкова схожість. Окрім використання запланованого завдання для підтримки стійкості, зловмисне програмне забезпечення призначене для ефективного захоплення та передачі конфіденційної інформації зі зламаних хостів, функціонуючи як цінний інструмент розвідки.
TODDLERSHARK демонструє характеристики поліморфної поведінки, що проявляється через зміни в ідентифікаційних рядках у його коді, зміщення позиції коду через згенерований небажаний код і використання унікально згенерованих командних і контрольних (C2) URL-адрес. Ці функції ускладнюють виявлення шкідливого програмного забезпечення в певних середовищах.
Заходи, рекомендовані дослідниками кібербезпеки проти шкідливого ПЗ TODDLESHARK
Щоб підвищити безпеку систем під керуванням ConnectWise ScreenConnect версії 23.9.7 і раніших, необхідні негайні дії. Дотримання вказівок, викладених у пораді ConnectWise, має вирішальне значення для вирішення потенційних компромісів. Вкрай важливо визначити пріоритети захисту та моніторингу систем, особливо тих, які доступні в Інтернеті. Цього можна досягти шляхом розгортання засобу виявлення та реагування на кінцеву точку (EDR) або засобу захисту від зловмисного програмного забезпечення, спеціально налаштованого для проведення ретельного сканування системи на наявність веб-оболонок.
Крім того, рекомендується впровадження або конфігурація брандмауера веб-додатків (WAF) або подібної системи моніторингу веб-трафіку. Цей захід полегшує аналіз у реальному часі, пропонуючи розширені можливості виявлення в разі потенційного використання, сприяючи більш надійній та стійкій інфраструктурі безпеки.
