Logiciel malveillant TODDLESHARK lié à Kimsuky APT

Récemment, des failles de sécurité dans ConnectWise ScreenConnect ont été exploitées par des acteurs malveillants nord-coréens pour introduire un nouveau malware connu sous le nom de TODDLERSHARK. TODDLERSHARK partage des similitudes avec les logiciels malveillants Kimsuky connus, notamment BabyShark et ReconShark.

Selon les chercheurs en sécurité, les auteurs de la menace ont accédé au poste de travail de la victime en profitant de l'assistant de configuration exposé dans l'application ScreenConnect. Par la suite, ils ont utilisé leur accès au « clavier pratique » pour exécuter mshta.exe avec une URL vers le malware basé sur Visual Basic (VB) à l’aide de cmd.exe.

Les failles spécifiques de ConnectWise exploitées sont CVE-2024-1708 et CVE-2024-1709, qui ont été révélées le mois dernier. Ces vulnérabilités ont depuis été largement exploitées par divers acteurs malveillants pour distribuer des mineurs de cryptomonnaie, des ransomwares, des chevaux de Troie d'accès à distance et des logiciels malveillants voleurs.

TODDLERSHARK étend la boîte à outils Kimsuky

Kimsuky, également identifié sous les noms d'APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anciennement Thallium), KTA082, Nickel Kimball et Velvet Chollima, a constamment élargi sa boîte à outils de logiciels malveillants, GoBear et Troll Stealer étant les derniers ajouts.

BabyShark, initialement détecté fin 2018, est lancé via un fichier d'application HTML (HTA). Une fois activé, le malware de script VB extrait les informations système vers un serveur de commande et de contrôle (C2), maintient la persistance sur le système et attend des instructions supplémentaires de l'opérateur.

En mai 2023, une variante de BabyShark appelée ReconShark a été observée ciblant des individus spécifiques via des e-mails de spear phishing. TODDLERSHARK est considéré comme la dernière itération du même malware, présentant des similitudes de code et de comportement.

En plus d'utiliser une tâche planifiée pour la persistance, TODDLERSHARK est conçu pour capturer et transmettre des informations sensibles sur les hôtes compromis, ce qui en fait un outil de reconnaissance efficace. Les chercheurs notent que TODDLERSHARK affiche des éléments de comportement polymorphe, tels que la modification des chaînes d'identité dans le code, la modification des positions du code via du code indésirable généré et l'utilisation d'URL C2 générées de manière unique, ce qui rend potentiellement la détection difficile dans certains environnements.