TODDLESHARK 恶意软件

网络安全专家发现了一种名为 TODDLERSHARK 的新恶意软件，该恶意软件是由朝鲜威胁行为者利用最近披露的 ConnectWise ScreenConnect 中的安全漏洞部署的。一份报告表明 TODDLERSHARK 与之前已知的 Kimsuky 恶意软件（包括BabyShark和 ReconShark）有相似之处。

与欺诈相关的行为者利用 ScreenConnect 应用程序设置向导中的漏洞访问了受害者的工作站。通过这种“手动键盘”访问，他们使用 cmd.exe 来执行 mshta.exe，其中包含链接到基于 Visual Basic (VB) 的恶意软件的 URL。

ConnectWise 安全问题的核心漏洞是 CVE-2024-1708 和 CVE-2024-1709。自从这些漏洞被曝光以来，多个威胁参与者已广泛利用它们。这些恶意行为者利用这些漏洞分发一系列不安全的有效负载，包括加密货币挖矿程序、勒索软件、远程访问木马（RATS）和窃取恶意软件。

Kimsuky 网络犯罪分子是最活跃的网络犯罪分子之一

Kimsuky 高级持续威胁 (APT) 组织有各种别名，例如 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet（以前称为铊）、KTA082、Nickel Kimball 和 Velvet Chollima，该组织不断扩展其恶意软件工具库。最新添加的产品包括 GoBear 和Troll Stealer。

BabyShark 于 2018 年底首次被发现，是通过 HTML 应用程序 (HTA) 文件启动的。执行后，该 VB 脚本恶意软件会提取系统信息并将其发送到命令与控制 (C2) 服务器。此外，BabyShark 在系统上建立持久性，等待操作员的进一步指令。

2023 年 5 月，检测到 BabyShark 的一个变种，名为 ReconShark。它是通过鱼叉式网络钓鱼电子邮件发送的，专门针对个人，展示了 APT 组织在网络运营中的不断发展和适应性。

TODDLESHARK 恶意软件被认为是之前 Kimsuki 威胁的演变

TODDLERSHARK 被认为是同一恶意软件的最新版本，从代码和行为的相似性可以明显看出。除了利用计划任务来维持持久性之外，该恶意软件还旨在有效地捕获和传输来自受感染主机的敏感信息，充当有价值的侦察工具。

TODDLERSHARK 展示了多态行为的特征，这通过更改其代码中的身份字符串、通过生成的垃圾代码移动代码的位置以及使用唯一生成的命令和控制 (C2) URL 来体现。这些功能增加了在某些环境中检测此恶意软件的潜在挑战。

网络安全研究人员针对 TODDLESHARK 恶意软件建议的措施

为了增强运行 ConnectWise ScreenConnect 版本 23.9.7 及更早版本的系统的安全性，必须立即采取行动。遵循 ConnectWise 公告中概述的准则对于解决潜在的危害至关重要。必须优先考虑系统的保护和监控，特别是那些可通过互联网访问的系统。这可以通过部署端点检测和响应 (EDR) 或专门配置为对 Webshell 进行彻底系统扫描的反恶意软件工具来实现。

此外，建议实施或配置 Web 应用程序防火墙 (WAF) 或类似的 Web 流量监控系统。该措施有利于实时分析，在潜在的利用情况下提供增强的检测能力，有助于建立更强大、更有弹性的安全基础设施。