TODDLESHARK Malware knyttet til Kimsuky APT
For nylig er sikkerhedssårbarheder i ConnectWise ScreenConnect blevet udnyttet af nordkoreanske trusselsaktører til at introducere en ny malware kendt som TODDLERSHARK. TODDLERSHARK deler ligheder med kendt Kimsuky malware, herunder BabyShark og ReconShark.
Ifølge sikkerhedsforskere fik trusselsaktørerne adgang til ofrets arbejdsstation ved at drage fordel af den synlige opsætningsguide i ScreenConnect-applikationen. Efterfølgende brugte de deres opnåede "praktiske tastatur"-adgang til at udføre mshta.exe med en URL til den Visual Basic (VB)-baserede malware ved hjælp af cmd.exe.
De specifikke ConnectWise-fejl, der udnyttes, er CVE-2024-1708 og CVE-2024-1709, som blev afsløret i sidste måned. Disse sårbarheder er siden blevet stærkt udnyttet af forskellige trusselsaktører til at distribuere cryptocurrency-minearbejdere, ransomware, fjernadgangstrojanske heste og tyveri-malware.
TODDLERSHARK udvider Kimsuky Toolkit
Kimsuky, også identificeret som APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (tidligere Thallium), KTA082, Nickel Kimball og Velvet Chollima, har konsekvent udvidet sit malware-værktøjssæt, hvor GoBear og Troll Stealer er de seneste tilføjelser.
BabyShark, der oprindeligt blev opdaget i slutningen af 2018, lanceres gennem en HTML Application (HTA) fil. Når det er aktiveret, udtrækker VB-scriptet malware systemoplysninger til en kommando-og-kontrol-server (C2), bevarer vedholdenhed på systemet og afventer yderligere instruktioner fra operatøren.
I maj 2023 blev en variant af BabyShark kaldet ReconShark observeret målrettet mod specifikke individer gennem spear-phishing-e-mails. TODDLERSHARK betragtes som den seneste iteration af den samme malware, der udviser kode og adfærdsmæssige ligheder.
Udover at bruge en planlagt opgave til vedholdenhed, er TODDLERSHARK designet til at fange og transmittere følsom information om kompromitterede værter, hvilket gør det til et effektivt rekognosceringsværktøj. Forskerne bemærker, at TODDLERSHARK viser elementer af polymorf adfærd, såsom ændring af identitetsstrenge i kode, ændring af kodepositioner gennem genereret uønsket kode og brug af unikt genererede C2 URL'er, hvilket potentielt gør detektion udfordrende i visse miljøer.
