Malware TODDLESHARK vinculado ao Kimsuky APT
Recentemente, vulnerabilidades de segurança no ConnectWise ScreenConnect foram exploradas por agentes de ameaças norte-coreanos para introduzir um novo malware conhecido como TODDLERSHARK. TODDLERSHARK compartilha semelhanças com malware Kimsuky conhecido, incluindo BabyShark e ReconShark.
De acordo com pesquisadores de segurança, os agentes da ameaça conseguiram entrar na estação de trabalho da vítima aproveitando o assistente de configuração exposto no aplicativo ScreenConnect. Posteriormente, eles utilizaram o acesso adquirido ao "teclado prático" para executar mshta.exe com uma URL para o malware baseado em Visual Basic (VB) usando cmd.exe.
As falhas específicas do ConnectWise exploradas são CVE-2024-1708 e CVE-2024-1709, que foram reveladas no mês passado. Desde então, essas vulnerabilidades têm sido fortemente exploradas por vários agentes de ameaças para distribuir mineradores de criptomoedas, ransomware, trojans de acesso remoto e malware ladrão.
TODDLERSHARK expande kit de ferramentas Kimsuky
Kimsuky, também identificado como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), KTA082, Nickel Kimball e Velvet Chollima, expandiu consistentemente seu kit de ferramentas de malware, com GoBear e Troll Stealer sendo as adições mais recentes.
O BabyShark, detectado inicialmente no final de 2018, é lançado por meio de um arquivo HTML Application (HTA). Uma vez ativado, o malware de script VB extrai informações do sistema para um servidor de comando e controle (C2), mantém persistência no sistema e aguarda instruções adicionais do operador.
Em maio de 2023, uma variante do BabyShark chamada ReconShark foi observada visando indivíduos específicos por meio de e-mails de spear-phishing. TODDLERSHARK é considerado a iteração mais recente do mesmo malware, exibindo código e semelhanças comportamentais.
Além de utilizar uma tarefa agendada para persistência, o TODDLERSHARK foi projetado para capturar e transmitir informações confidenciais sobre hosts comprometidos, tornando-o uma ferramenta de reconhecimento eficaz. Os pesquisadores observam que o TODDLERSHARK exibe elementos de comportamento polimórfico, como alteração de cadeias de identidade no código, alteração de posições de código por meio de código indesejado gerado e uso de URLs C2 gerados exclusivamente, tornando a detecção potencialmente desafiadora em determinados ambientes.
