TODDLESHARK Malware Kimsuky APT-hez kapcsolódik
A közelmúltban a ConnectWise ScreenConnect biztonsági réseit kihasználták az észak-koreai fenyegetés szereplői egy új, TODDLERSHARK néven ismert rosszindulatú program bevezetésére. A TODDLERSHARK hasonlóságokat mutat az ismert Kimsuky kártevőkkel, köztük a BabySharkkal és a ReconSharkkal.
A biztonsági kutatók szerint a fenyegetés szereplői úgy jutottak be az áldozat munkaállomására, hogy kihasználták a ScreenConnect alkalmazás fedetlen telepítővarázslóját. Ezt követően a megszerzett „gyakorlati billentyűzet” hozzáférést használták az mshta.exe futtatására a Visual Basic (VB) alapú rosszindulatú program URL-jével a cmd.exe használatával.
A ConnectWise konkrét hibái a CVE-2024-1708 és a CVE-2024-1709, amelyeket a múlt hónapban tártak fel. Ezeket a sérülékenységeket azóta számos fenyegető szereplő nagymértékben kihasználja kriptovaluta-bányászok, zsarolóprogramok, távoli hozzáférésű trójai programok és kártevő-lopó programok terjesztésére.
A TODDLERSHARK kibővíti a Kimsuky eszközkészletet
Kimsuky, más néven APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (korábban Thallium), KTA082, Nickel Kimball és Velvet Chollima, következetesen bővítette rosszindulatú programjainak eszköztárát, a GoBear és a Troll Stealer a legújabb kiegészítők.
Az eredetileg 2018 végén észlelt BabyShark egy HTML Application (HTA) fájlon keresztül indul el. Az aktiválás után a VB script rosszindulatú program kivonja a rendszerinformációkat egy parancs- és vezérlőkiszolgálóhoz (C2), fenntartja a rendszer állandóságát, és várja a további utasításokat a kezelőtől.
2023 májusában megfigyelték a BabyShark ReconShark nevű változatát, amely bizonyos személyeket célzott meg adathalász e-maileken keresztül. A TODDLERSHARK ugyanazon rosszindulatú program legújabb iterációja, kódja és viselkedése hasonlóságokat mutat.
Amellett, hogy egy ütemezett feladatot használ a kitartás érdekében, a TODDLERSHARK-ot arra tervezték, hogy rögzítse és továbbítsa a feltört gazdagépekkel kapcsolatos bizalmas információkat, így hatékony felderítési eszköz. A kutatók megjegyzik, hogy a TODDLERSHARK olyan polimorf viselkedési elemeket jelenít meg, mint például az azonosító karakterláncok megváltoztatása a kódban, a kódpozíciók megváltoztatása generált kéretlen kódon keresztül, valamint egyedileg generált C2 URL-ek használata, ami potenciálisan kihívást jelent bizonyos környezetekben az észlelést.
