TODDLESHARK 惡意軟體

網路安全專家發現了一種名為 TODDLERSHARK 的新惡意軟體，該惡意軟體是由北韓威脅行為者利用最近披露的 ConnectWise ScreenConnect 中的安全漏洞部署的。一份報告表明 TODDLERSHARK 與先前已知的 Kimsuky 惡意軟體（包括BabyShark和 ReconShark）有相似之處。

與詐騙相關的行為者利用 ScreenConnect 應用程式設定精靈中的漏洞存取了受害者的工作站。透過這種「手動鍵盤」訪問，他們使用 cmd.exe 來執行 mshta.exe，其中包含連結到基於 Visual Basic (VB) 的惡意軟體的 URL。

ConnectWise 安全性問題的核心漏洞是 CVE-2024-1708 和 CVE-2024-1709。自從這些漏洞被揭露以來，多個威脅參與者已廣泛利用它們。這些惡意行為者利用這些漏洞分發一系列不安全的有效負載，包括加密貨幣挖礦程式、勒索軟體、遠端存取木馬（RATS）和竊取惡意軟體。

Kimsuky 網路犯罪分子是最活躍的網路犯罪分子之一

Kimsuky 高級持續威脅 (APT) 組織有各種別名，例如 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet（以前稱為鉈）、KTA082、Nickel Kimball 和 Velvet Chollima，該組織不斷擴展其惡意軟體工具庫。最新加入的產品包括 GoBear 和Troll Stealer。

BabyShark 於 2018 年底首次被發現，是透過 HTML 應用程式 (HTA) 檔案啟動的。執行後，該 VB 腳本惡意軟體會擷取系統資訊並將其傳送至命令與控制 (C2) 伺服器。此外，BabyShark 在系統上建立持久性，等待操作員的進一步指示。

2023 年 5 月，偵測到 BabyShark 的一個變種，名為 ReconShark。它是透過魚叉式網路釣魚電子郵件發送的，專門針對個人，展示了 APT 組織在網路運作中的不斷發展和適應性。

TODDLESHARK 惡意軟體被認為是先前 Kimsuki 威脅的演變

TODDLERSHARK 被認為是同一惡意軟體的最新版本，從程式碼和行為的相似性可以明顯看出。除了利用排程任務來維持持久性之外，該惡意軟體還旨在有效地捕獲和傳輸來自受感染主機的敏感訊息，充當有價值的偵察工具。

TODDLERSHARK 展示了多態行為的特徵，這透過更改其程式碼中的身分字串、透過產生的垃圾程式碼移動程式碼的位置以及使用唯一產生的命令和控制 (C2) URL 來體現。這些功能增加了在某些環境中檢測此惡意軟體的潛在挑戰。

網路安全研究人員針對 TODDLESHARK 惡意軟體建議的措施

為了增強運行 ConnectWise ScreenConnect 版本 23.9.7 及更早版本的系統的安全性，必須立即採取行動。遵循 ConnectWise 公告中概述的準則對於解決潛在的危害至關重要。必須優先考慮系統的保護和監控，特別是那些可透過網路存取的系統。這可以透過部署端點偵測和回應 (EDR) 或專門配置為對 Webshell 進行徹底系統掃描的反惡意軟體工具來實現。

此外，建議實施或設定 Web 應用程式防火牆 (WAF) 或類似的 Web 流量監控系統。該措施有利於即時分析，在潛在的利用情況下提供增強的檢測能力，有助於建立更強大、更有彈性的安全基礎設施。