Kimsuky APT にリンクされた TODDLESHARK マルウェア

最近、ConnectWise ScreenConnect のセキュリティの脆弱性が北朝鮮の攻撃者によって悪用され、TODDLERSHARK として知られる新しいマルウェアが導入されました。 TODDLERSHARK は、BabyShark や ReconShark などの既知の Kimsuky マルウェアと類似点を共有しています。

セキュリティ研究者によると、攻撃者は、ScreenConnect アプリケーションの公開されたセットアップ ウィザードを利用して、被害者のワークステーションに侵入しました。その後、彼らは獲得した「ハンズオン キーボード」アクセスを利用して、cmd.exe を使用して Visual Basic (VB) ベースのマルウェアへの URL を含む mshta.exe を実行しました。

悪用された ConnectWise の具体的な欠陥は、先月明らかになった CVE-2024-1708 と CVE-2024-1709 です。これらの脆弱性はその後、仮想通貨マイナー、ランサムウェア、リモート アクセス トロイの木馬、スティーラー マルウェアを配布するためにさまざまな攻撃者によって頻繁に悪用されています。

TODDLERSHARK が Kimsuky ツールキットを拡張

APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet (以前の Thallium)、KTA082、Nickel Kimball、および Velvet Chollima とも呼ばれる Kimsuky は、一貫してマルウェア ツールキットを拡張しており、最新の追加として GoBear と Troll Stealer があります。

BabyShark は 2018 年後半に最初に検出され、HTML アプリケーション (HTA) ファイルを通じて起動されます。 VB スクリプト マルウェアは、アクティブ化されると、システム情報をコマンド アンド コントロール (C2) サーバーに抽出し、システム上で永続性を維持し、オペレーターからのさらなる指示を待ちます。

2023 年 5 月、ReconShark と呼ばれる BabyShark の亜種が、スピア フィッシング メールを通じて特定の個人をターゲットにしていることが観察されました。 TODDLERSHARK は、コードと動作の類似性を示し、同じマルウェアの最新バージョンであると考えられています。

TODDLERSHARK は、永続化のためにスケジュールされたタスクを利用するだけでなく、侵害されたホストに関する機密情報を取得して送信するように設計されており、効果的な偵察ツールとなります。研究者らは、TODDLERSHARK は、コード内の ID 文字列の変更、生成されたジャンク コードによるコード位置の変更、独自に生成された C2 URL の使用など、多態性の動作の要素を表示するため、特定の環境では検出が困難になる可能性があると指摘しています。