TODDLESHARK κακόβουλο λογισμικό που συνδέεται με το Kimsuky APT
Πρόσφατα, τα τρωτά σημεία ασφαλείας στο ConnectWise ScreenConnect έχουν γίνει αντικείμενο εκμετάλλευσης από φορείς απειλών της Βόρειας Κορέας για την εισαγωγή ενός νέου κακόβουλου λογισμικού γνωστό ως TODDLERSHARK. Το TODDLERSHARK μοιράζεται ομοιότητες με γνωστό κακόβουλο λογισμικό Kimsuky, συμπεριλαμβανομένων των BabyShark και ReconShark.
Σύμφωνα με ερευνητές ασφαλείας, οι παράγοντες της απειλής μπήκαν στον σταθμό εργασίας του θύματος εκμεταλλευόμενοι τον εκτεθειμένο οδηγό εγκατάστασης στην εφαρμογή ScreenConnect. Στη συνέχεια, χρησιμοποίησαν την αποκτηθείσα πρόσβασή τους στο "hands-on keyboard" για να εκτελέσουν το mshta.exe με μια διεύθυνση URL στο κακόβουλο λογισμικό που βασίζεται στη Visual Basic (VB) χρησιμοποιώντας το cmd.exe.
Τα συγκεκριμένα ελαττώματα του ConnectWise που αξιοποιήθηκαν είναι τα CVE-2024-1708 και CVE-2024-1709, τα οποία αποκαλύφθηκαν τον περασμένο μήνα. Αυτά τα τρωτά σημεία έχουν έκτοτε αξιοποιηθεί σε μεγάλο βαθμό από διάφορους παράγοντες απειλών για τη διανομή εξορύξεων κρυπτονομισμάτων, ransomware, trojans απομακρυσμένης πρόσβασης και κακόβουλου λογισμικού κλοπής.
Το TODDLERSHARK επεκτείνει το Kimsuky Toolkit
Η Kimsuky, που προσδιορίζεται επίσης ως APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (προηγουμένως Thallium), KTA082, Nickel Kimball και Velvet Chollima, έχει επεκτείνει συνεχώς την εργαλειοθήκη κακόβουλου λογισμικού, με το GoBear και το Troll Stealer να είναι οι πιο πρόσφατες προσθήκες.
Το BabyShark, που εντοπίστηκε αρχικά στα τέλη του 2018, εκκινείται μέσω ενός αρχείου εφαρμογής HTML (HTA). Μόλις ενεργοποιηθεί, το κακόβουλο λογισμικό σεναρίου VB εξάγει τις πληροφορίες συστήματος σε έναν διακομιστή εντολών και ελέγχου (C2), διατηρεί σταθερότητα στο σύστημα και αναμένει περαιτέρω οδηγίες από τον χειριστή.
Τον Μάιο του 2023, παρατηρήθηκε μια παραλλαγή του BabyShark που ονομάζεται ReconShark και στοχεύει συγκεκριμένα άτομα μέσω emails spear-phishing. Το TODDLERSHARK θεωρείται η πιο πρόσφατη επανάληψη του ίδιου κακόβουλου λογισμικού, που παρουσιάζει ομοιότητες κώδικα και συμπεριφοράς.
Εκτός από τη χρήση μιας προγραμματισμένης εργασίας για επιμονή, το TODDLERSHARK έχει σχεδιαστεί για να συλλαμβάνει και να μεταδίδει ευαίσθητες πληροφορίες σχετικά με παραβιασμένους οικοδεσπότες, καθιστώντας το ένα αποτελεσματικό εργαλείο αναγνώρισης. Οι ερευνητές σημειώνουν ότι το TODDLERSHARK εμφανίζει στοιχεία πολυμορφικής συμπεριφοράς, όπως αλλαγή συμβολοσειρών ταυτότητας στον κώδικα, αλλαγή θέσεων κώδικα μέσω παραγόμενου ανεπιθύμητου κώδικα και χρήση διευθύνσεων URL C2 που δημιουργούνται μοναδικά, καθιστώντας δυνητικά δύσκολη την ανίχνευση σε ορισμένα περιβάλλοντα.
