TODDLESHARK Malware koblet til Kimsuky APT

Nylig har sikkerhetssårbarheter i ConnectWise ScreenConnect blitt utnyttet av nordkoreanske trusselaktører for å introdusere en ny skadelig programvare kjent som TODDLERSHARK. TODDLERSHARK deler likheter med kjent Kimsuky malware, inkludert BabyShark og ReconShark.

I følge sikkerhetsforskere fikk trusselaktørene tilgang til offerets arbeidsstasjon ved å dra nytte av den synlige oppsettsveiviseren i ScreenConnect-applikasjonen. Deretter brukte de sin oppnådde "hands-on keyboard"-tilgang til å kjøre mshta.exe med en URL til Visual Basic (VB)-basert malware ved å bruke cmd.exe.

De spesifikke ConnectWise-feilene som ble utnyttet er CVE-2024-1708 og CVE-2024-1709, som ble avslørt forrige måned. Disse sårbarhetene har siden blitt kraftig utnyttet av ulike trusselaktører for å distribuere kryptovalutagruvearbeidere, løsepengeprogramvare, fjerntilgangstrojanere og tyverisk skadevare.

TODDLERSHARK utvider Kimsuky Toolkit

Kimsuky, også identifisert som APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (tidligere Thallium), KTA082, Nickel Kimball og Velvet Chollima, har konsekvent utvidet sin malware-verktøykasse, med GoBear og Troll Stealer som de siste tilskuddene.

BabyShark, opprinnelig oppdaget i slutten av 2018, lanseres gjennom en HTML Application (HTA) fil. Når det er aktivert, trekker VB-skriptet malware ut systeminformasjon til en kommando-og-kontroll-server (C2), opprettholder utholdenhet på systemet og venter på ytterligere instruksjoner fra operatøren.

I mai 2023 ble en variant av BabyShark kalt ReconShark observert rettet mot bestemte individer gjennom spyd-phishing-e-poster. TODDLERSHARK regnes som den siste iterasjonen av samme skadevare, som viser kode- og atferdslikheter.

Bortsett fra å bruke en planlagt oppgave for utholdenhet, er TODDLERSHARK designet for å fange opp og overføre sensitiv informasjon om kompromitterte verter, noe som gjør det til et effektivt rekognoseringsverktøy. Forskerne bemerker at TODDLERSHARK viser elementer av polymorf atferd, som å endre identitetsstrenger i kode, endre kodeposisjoner gjennom generert søppelkode og bruke unikt genererte C2 URL-er, noe som potensielt gjør deteksjon utfordrende i visse miljøer.

Innen Zaib
March 7, 2024
Computer Security
Norsk
March 7, 2024
Computer Security

Populære innlegg

Hva er OperaGXSetup.exe-filen og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne popup-vinduer er...

12 days siden

Legg merke til: Noen la deg til som sin...

10 months siden

HackTool:Win32/Crack: en ondsinnet trussel som kan alvorlig...

7 months siden

En potensielt alvorlig trussel: Trojan:Win32/Suschil!rfn

19 days siden

Hva er trusselen om den trojanske hesten fra Packunwan og...

11 months siden
Norsk
Laster ...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hjem

Products

Cyclonis Password Manager Cyclonis World Time

Support

Help Files Spørsmål og svar Downloads Inquiries & Support

Selskap

About Us Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Personvern Cookie-policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemerke for Microsoft, registrert i USA og andre land.
Mac, iPhone, iPad og App Store er varemerker for Apple Inc., registrert i USA og andre land.
iOS er et registrert varemerke for Cisco Systems, Inc. og/eller dets tilknyttede selskaper i USA og visse andre land.
Android og Google Play er varemerker for Google LLC.