Złośliwe oprogramowanie TODDLESHARK powiązane z Kimsuky APT

Niedawno północnokoreańskie ugrupowania cyberprzestępcze wykorzystały luki w zabezpieczeniach programu ConnectWise ScreenConnect do wprowadzenia nowego szkodliwego oprogramowania znanego jako TODDLERSHARK. TODDLERSHARK ma podobieństwa ze znanym złośliwym oprogramowaniem Kimsuky, w tym BabyShark i ReconShark.

Według badaczy bezpieczeństwa cyberprzestępcy uzyskali dostęp do stacji roboczej ofiary, korzystając z odsłoniętego kreatora konfiguracji w aplikacji ScreenConnect. Następnie wykorzystali zdobyty dostęp do „praktycznej klawiatury” w celu uruchomienia mshta.exe z adresem URL złośliwego oprogramowania opartego na Visual Basic (VB) za pomocą cmd.exe.

Konkretne wykorzystywane luki w ConnectWise to CVE-2024-1708 i CVE-2024-1709, które ujawniono w zeszłym miesiącu. Od tego czasu luki te były intensywnie wykorzystywane przez różnych cyberprzestępców do rozpowszechniania koparek kryptowalut, oprogramowania ransomware, trojanów zdalnego dostępu i złośliwego oprogramowania kradnącego.

TODDLERSHARK rozszerza zestaw narzędzi Kimsuky

Kimsuky, znany również jako APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (wcześniej Thallium), KTA082, Nickel Kimball i Velvet Chollima, konsekwentnie rozszerza swój zestaw narzędzi złośliwego oprogramowania, a najnowszymi dodatkami są GoBear i Troll Stealer.

BabyShark, wykryty po raz pierwszy pod koniec 2018 r., jest uruchamiany za pośrednictwem pliku aplikacji HTML (HTA). Po aktywacji złośliwe oprogramowanie skryptowe VB wyodrębnia informacje systemowe do serwera dowodzenia i kontroli (C2), utrzymuje trwałość systemu i czeka na dalsze instrukcje od operatora.

W maju 2023 r. zaobserwowano wariant BabyShark o nazwie ReconShark, którego celem są określone osoby za pośrednictwem wiadomości e-mail typu spear-phishing. TODDLERSHARK jest uważany za najnowszą wersję tego samego złośliwego oprogramowania, wykazującą podobieństwa w kodzie i zachowaniu.

Oprócz wykorzystania zaplanowanych zadań w celu zapewnienia trwałości, TODDLERSHARK został zaprojektowany do przechwytywania i przesyłania poufnych informacji o zaatakowanych hostach, co czyni go skutecznym narzędziem rozpoznawczym. Naukowcy zauważają, że TODDLERSHARK wyświetla elementy zachowań polimorficznych, takie jak zmiana ciągów identyfikacyjnych w kodzie, zmiana pozycji kodu poprzez wygenerowany kod-śmieci i używanie unikalnie wygenerowanych adresów URL C2, co potencjalnie utrudnia wykrycie w niektórych środowiskach.