TODDLESHARK 恶意软件与 Kimsuky APT 相关

最近，朝鲜威胁行为者利用 ConnectWise ScreenConnect 中的安全漏洞引入了一种名为 TODDLERSHARK 的新恶意软件。 TODDLERSHARK 与已知的 Kimsuky 恶意软件有相似之处，包括 BabyShark 和 ReconShark。

据安全研究人员称，威胁行为者通过利用 ScreenConnect 应用程序中公开的设置向导来进入受害者的工作站。随后，他们利用获得的“手动键盘”访问权限，使用 cmd.exe 执行 mshta.exe，其中包含基于 Visual Basic (VB) 的恶意软件的 URL。

具体利用的 ConnectWise 缺陷是上个月披露的 CVE-2024-1708 和 CVE-2024-1709。此后，这些漏洞被各种威胁行为者大量利用来传播加密货币挖矿程序、勒索软件、远程访问木马和窃取恶意软件。

TODDLERSHARK 扩展了 Kimsuky 工具包

Kimsuky 也被识别为 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet（以前称为 Thallium）、KTA082、Nickel Kimball 和 Velvet Chollima，不断扩展其恶意软件工具包，最新添加的包括 GoBear 和 Troll Stealer。

BabyShark 最初于 2018 年底被发现，是通过 HTML 应用程序 (HTA) 文件启动的。一旦激活，VB 脚本恶意软件就会将系统信息提取到命令和控制 (C2) 服务器，保持系统的持久性，并等待操作员的进一步指令。

2023 年 5 月，人们发现 BabyShark 的一个变种 ReconShark 通过鱼叉式网络钓鱼电子邮件针对特定个人。 TODDLERSHARK 被认为是同一恶意软件的最新版本，表现出代码和行为相似性。

除了利用计划任务进行持久化之外，TODDLERSHARK 还旨在捕获和传输有关受感染主机的敏感信息，使其成为有效的侦察工具。研究人员指出，TODDLERSHARK 显示了多态行为的元素，例如更改代码中的身份字符串、通过生成的垃圾代码更改代码位置以及使用唯一生成的 C2 URL，这可能会使某些环境中的检测变得困难。