Вредоносное ПО TODDLESHARK связано с Kimsuky APT
Недавно северокорейские злоумышленники использовали уязвимости безопасности в ConnectWise ScreenConnect для внедрения нового вредоносного ПО, известного как TODDLERSHARK. TODDLERSHARK имеет сходство с известными вредоносными программами Kimsuky, включая BabyShark и ReconShark.
По мнению исследователей безопасности, злоумышленники получили доступ к рабочей станции жертвы, воспользовавшись мастером настройки в приложении ScreenConnect. Впоследствии они использовали полученный «практический доступ к клавиатуре» для запуска mshta.exe с URL-адресом вредоносного ПО на основе Visual Basic (VB) с помощью cmd.exe.
Конкретными уязвимостями ConnectWise являются CVE-2024-1708 и CVE-2024-1709, которые были обнаружены в прошлом месяце. С тех пор эти уязвимости активно использовались различными злоумышленниками для распространения майнеров криптовалюты, программ-вымогателей, троянов удаленного доступа и вредоносных программ-воров.
TODDLERSHARK расширяет набор инструментов Kimsuky
Kimsuky, также известный как APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (ранее Thallium), KTA082, Nickel Kimball и Velvet Chollima, постоянно расширяет свой набор вредоносных программ, последними из которых являются GoBear и Troll Stealer.
BabyShark, первоначально обнаруженный в конце 2018 года, запускается через файл HTML-приложения (HTA). После активации вредоносное ПО-скрипт VB извлекает системную информацию на сервер управления и контроля (C2), сохраняет постоянство в системе и ожидает дальнейших инструкций от оператора.
В мае 2023 года был замечен вариант BabyShark под названием ReconShark, нацеленный на конкретных людей с помощью целевых фишинговых писем. TODDLERSHARK считается последней версией той же вредоносной программы, демонстрирующей сходство кода и поведения.
Помимо использования запланированных задач для сохранения, TODDLERSHARK предназначен для сбора и передачи конфиденциальной информации о скомпрометированных хостах, что делает его эффективным инструментом разведки. Исследователи отмечают, что TODDLERSHARK отображает элементы полиморфного поведения, такие как изменение идентификационных строк в коде, изменение позиций кода с помощью сгенерированного ненужного кода и использование уникально сгенерированных URL-адресов C2, что потенциально затрудняет обнаружение в определенных средах.
