TODDLESHARK Malware collegato a Kimsuky APT
Recentemente, le vulnerabilità della sicurezza in ConnectWise ScreenConnect sono state sfruttate da autori di minacce nordcoreane per introdurre un nuovo malware noto come TODDLERSHARK. TODDLERSHARK condivide somiglianze con il noto malware Kimsuky, tra cui BabyShark e ReconShark.
Secondo gli esperti di sicurezza gli autori degli attacchi sono riusciti ad accedere alla postazione di lavoro della vittima sfruttando l'assistente di configurazione esposto nell'applicazione ScreenConnect. Successivamente, hanno utilizzato l'accesso pratico ottenuto tramite "tastiera" per eseguire mshta.exe con un URL al malware basato su Visual Basic (VB) utilizzando cmd.exe.
I difetti specifici di ConnectWise sfruttati sono CVE-2024-1708 e CVE-2024-1709, rivelati il mese scorso. Da allora queste vulnerabilità sono state pesantemente sfruttate da vari autori di minacce per distribuire minatori di criptovaluta, ransomware, trojan di accesso remoto e malware stealer.
TODDLERSARK espande il kit di strumenti Kimsuky
Kimsuky, identificato anche come APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (precedentemente Thallium), KTA082, Nickel Kimball e Velvet Chollima, ha costantemente ampliato il suo toolkit malware, con GoBear e Troll Stealer le ultime aggiunte.
BabyShark, rilevato inizialmente alla fine del 2018, viene lanciato tramite un file HTML Application (HTA). Una volta attivato, il malware con script VB estrae le informazioni di sistema su un server di comando e controllo (C2), mantiene la persistenza sul sistema e attende ulteriori istruzioni da parte dell'operatore.
Nel maggio 2023, è stata osservata una variante di BabyShark chiamata ReconShark che prendeva di mira individui specifici tramite e-mail di spear phishing. TODDLERSHARK è considerato l'ultima iterazione dello stesso malware, presentando somiglianze nel codice e nel comportamento.
Oltre a utilizzare un'attività pianificata per la persistenza, TODDLERSHARK è progettato per acquisire e trasmettere informazioni sensibili sugli host compromessi, rendendolo un efficace strumento di ricognizione. I ricercatori notano che TODDLERSHARK mostra elementi di comportamento polimorfico, come la modifica delle stringhe di identità nel codice, l'alterazione delle posizioni del codice attraverso il codice spazzatura generato e l'utilizzo di URL C2 generati in modo univoco, rendendo potenzialmente difficile il rilevamento in determinati ambienti.
