Malware TODDLESHARK vinculado a Kimsuky APT
Recientemente, actores de amenazas norcoreanos han aprovechado las vulnerabilidades de seguridad en ConnectWise ScreenConnect para introducir un nuevo malware conocido como TODDLERSHARK. TODDLERSHARK comparte similitudes con el conocido malware Kimsuky, incluidos BabyShark y ReconShark.
Según los investigadores de seguridad, los actores de amenazas lograron ingresar a la estación de trabajo de la víctima aprovechando el asistente de configuración expuesto en la aplicación ScreenConnect. Posteriormente, utilizaron el acceso de "teclado práctico" obtenido para ejecutar mshta.exe con una URL al malware basado en Visual Basic (VB) que utilizaba cmd.exe.
Las fallas específicas de ConnectWise explotadas son CVE-2024-1708 y CVE-2024-1709, que se revelaron el mes pasado. Desde entonces, estas vulnerabilidades han sido ampliamente explotadas por varios actores de amenazas para distribuir mineros de criptomonedas, ransomware, troyanos de acceso remoto y malware ladrón.
TODDLERSHARK amplía el kit de herramientas de Kimsuky
Kimsuky, también identificado como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), KTA082, Nickel Kimball y Velvet Chollima, ha ampliado constantemente su conjunto de herramientas de malware, siendo GoBear y Troll Stealer las últimas incorporaciones.
BabyShark, detectado inicialmente a finales de 2018, se inicia a través de un archivo de aplicación HTML (HTA). Una vez activado, el malware VB script extrae información del sistema a un servidor de comando y control (C2), mantiene la persistencia en el sistema y espera más instrucciones del operador.
En mayo de 2023, se observó una variante de BabyShark llamada ReconShark dirigida a personas específicas a través de correos electrónicos de phishing. TODDLERSHARK se considera la última versión del mismo malware y presenta similitudes de código y comportamiento.
Además de utilizar una tarea programada para la persistencia, TODDLERSHARK está diseñado para capturar y transmitir información confidencial sobre hosts comprometidos, lo que la convierte en una herramienta de reconocimiento eficaz. Los investigadores señalan que TODDLERSHARK muestra elementos de comportamiento polimórfico, como cambiar cadenas de identidad en el código, alterar las posiciones del código a través de código basura generado y usar URL C2 generadas de forma única, lo que potencialmente dificulta la detección en ciertos entornos.
