Phần mềm độc hại TODLESHARK
Các chuyên gia an ninh mạng đã xác định được một phần mềm độc hại mới có tên TODDLRERSHARK, được triển khai bởi những kẻ đe dọa Triều Tiên, những kẻ đã lợi dụng các lỗ hổng bảo mật được tiết lộ gần đây trong ConnectWise ScreenConnect. Một báo cáo chỉ ra rằng TODDLERSHARK có những điểm tương đồng với phần mềm độc hại Kimsuky đã biết trước đây, bao gồm BabyShark và ReconShark.
Những kẻ liên quan đến gian lận đã truy cập vào máy trạm của nạn nhân bằng cách khai thác các lỗ hổng trong trình hướng dẫn thiết lập của ứng dụng ScreenConnect. Với quyền truy cập 'bàn phím thực hành' này, họ đã sử dụng cmd.exe để thực thi mshta.exe, kết hợp một URL được liên kết với phần mềm độc hại dựa trên Visual Basic (VB).
Các lỗ hổng chính khiến mối lo ngại về bảo mật của ConnectWise là CVE-2024-1708 và CVE-2024-1709. Kể từ khi những lỗ hổng này bị lộ, nhiều kẻ tấn công đã khai thác chúng một cách rộng rãi. Những kẻ xấu này đã lợi dụng các lỗ hổng để phân phối một loạt tải trọng không an toàn, bao gồm các công cụ khai thác tiền điện tử, ransomware, Trojan truy cập từ xa RATS) và phần mềm độc hại đánh cắp.
Mục lục
Tội phạm mạng Kimsuky là một trong những nhóm hoạt động tích cực nhất
Nhóm Kimsuky Advanced Persistent Threat (APT), được công nhận bởi nhiều bí danh khác nhau như APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (trước đây là Thallium), KTA082, Nickel Kimball và Velvet Chollima, đã liên tục mở rộng danh mục các công cụ phần mềm độc hại của mình. Trong số những bổ sung mới nhất có GoBear và Troll Stealer.
Được xác định lần đầu tiên vào cuối năm 2018, BabyShark được khởi tạo thông qua tệp Ứng dụng HTML (HTA). Sau khi thực thi, phần mềm độc hại tập lệnh VB này sẽ trích xuất thông tin hệ thống và gửi nó đến máy chủ Lệnh và Kiểm soát (C2). Ngoài ra, BabyShark thiết lập tính bền vững trên hệ thống và chờ hướng dẫn thêm từ nhà điều hành.
Vào tháng 5 năm 2023, một biến thể của BabyShark có tên ReconShark đã được phát hiện. Nó được gửi qua các email lừa đảo trực tuyến, đặc biệt nhắm mục tiêu vào các cá nhân, cho thấy sự phát triển liên tục và khả năng thích ứng của nhóm APT trong các hoạt động mạng của họ.
Phần mềm độc hại TODLESHARK được cho là sự phát triển của các mối đe dọa Kimsuki trước đây
TODDLRERSHARK được coi là phiên bản mới nhất của cùng một phần mềm độc hại, thể hiện rõ ở cả sự giống nhau về mã và hành vi. Ngoài việc sử dụng tác vụ theo lịch trình để duy trì tính ổn định, phần mềm độc hại còn được thiết kế để thu thập và truyền tải thông tin nhạy cảm một cách hiệu quả từ các máy chủ bị xâm nhập, hoạt động như một công cụ trinh sát có giá trị.
TODDLRERSHARK thể hiện các đặc điểm của hành vi đa hình, được biểu hiện thông qua các thay đổi trong chuỗi nhận dạng trong mã của nó, thay đổi vị trí của mã thông qua mã rác được tạo và sử dụng URL Lệnh và Điều khiển (C2) được tạo duy nhất. Những tính năng này góp phần tạo ra thách thức tiềm ẩn trong việc phát hiện phần mềm độc hại này trong một số môi trường nhất định.
Các biện pháp được các nhà nghiên cứu an ninh mạng đề xuất chống lại phần mềm độc hại TODLESHARK
Để tăng cường tính bảo mật của các hệ thống chạy ConnectWise ScreenConnect phiên bản 23.9.7 trở về trước, cần phải hành động ngay lập tức. Việc tuân theo các nguyên tắc được nêu trong lời khuyên của ConnectWise là rất quan trọng để giải quyết các nguy cơ tiềm ẩn. Điều bắt buộc là phải ưu tiên bảo vệ và giám sát các hệ thống, đặc biệt là những hệ thống có thể truy cập trên Internet. Điều này có thể đạt được bằng cách triển khai công cụ phát hiện và phản hồi điểm cuối (EDR) hoặc công cụ chống phần mềm độc hại được định cấu hình cụ thể để tiến hành quét hệ thống kỹ lưỡng để tìm webshell.
Ngoài ra, bạn nên triển khai hoặc cấu hình Tường lửa ứng dụng web (WAF) hoặc hệ thống giám sát lưu lượng truy cập web tương đương. Biện pháp này tạo điều kiện thuận lợi cho việc phân tích theo thời gian thực, cung cấp khả năng phát hiện nâng cao trong trường hợp có khả năng bị khai thác, góp phần tạo nên cơ sở hạ tầng bảo mật mạnh mẽ và linh hoạt hơn.
