TODDLESHARK kenkėjiška programa, susieta su Kimsuky APT

Neseniai „ConnectWise ScreenConnect“ saugumo spragas išnaudojo Šiaurės Korėjos grėsmės veikėjai, kad pristatytų naują kenkėjišką programą, žinomą kaip TODDLERSHARK. TODDLERSHARK turi panašumų su žinomomis Kimsuky kenkėjiškomis programomis, įskaitant BabyShark ir ReconShark.

Saugumo tyrinėtojų teigimu, grėsmės veikėjai pateko į aukos darbo vietą pasinaudoję „ScreenConnect“ programoje esančiu sąrankos vedliu. Vėliau jie pasinaudojo įgyta „praktine klaviatūros“ prieiga, kad vykdytų mshta.exe su URL į „Visual Basic“ (VB) pagrįstą kenkėjišką programą naudodami cmd.exe.

Konkretūs „ConnectWise“ trūkumai yra CVE-2024-1708 ir CVE-2024-1709, kurie buvo atskleisti praėjusį mėnesį. Šiuos pažeidžiamumus nuo to laiko labai išnaudojo įvairūs grėsmių subjektai, platindami kriptovaliutų kasyklas, išpirkos reikalaujančias programas, nuotolinės prieigos Trojos arklius ir kenkėjiškas programas.

TODDLERSHARK išplečia Kimsuky įrankių rinkinį

Kimsuky, taip pat žinomas kaip APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anksčiau Thallium), KTA082, Nickel Kimball ir Velvet Chollima, nuolat plėtė savo kenkėjiškų programų įrankių rinkinį, o naujausiais priedais yra GoBear ir Troll Stealer.

„BabyShark“, iš pradžių aptikta 2018 m. pabaigoje, paleidžiama naudojant HTML programos (HTA) failą. Kai suaktyvinta, VB scenarijaus kenkėjiška programa ištraukia sistemos informaciją į komandų ir valdymo (C2) serverį, palaiko sistemos pastovumą ir laukia tolesnių operatoriaus nurodymų.

2023 m. gegužės mėn. buvo pastebėtas BabyShark variantas, vadinamas ReconShark, nukreiptas į konkrečius asmenis per sukčiavimo el. laiškus. TODDLERSHARK laikoma naujausia tos pačios kenkėjiškos programos iteracija, pasižyminčia kodo ir elgesio panašumais.

TODDLERSHARK ne tik naudoja suplanuotą atkaklumo užduotį, bet ir yra skirtas fiksuoti ir perduoti slaptą informaciją apie pažeistus pagrindinius kompiuterius, todėl tai yra veiksmingas žvalgybos įrankis. Tyrėjai pažymi, kad TODDLERSHARK rodo polimorfinio elgesio elementus, tokius kaip tapatybės eilučių keitimas kode, kodo pozicijų keitimas naudojant sugeneruotą nepageidaujamą kodą ir naudojant unikaliai sugeneruotus C2 URL, todėl aptikimas tam tikrose aplinkose gali būti sudėtingas.