TODDLESHARK 惡意軟體與 Kimsuky APT 相關

最近，北韓威脅行為者利用 ConnectWise ScreenConnect 中的安全漏洞引入了一種名為 TODDLERSHARK 的新惡意軟體。 TODDLERSHARK 與已知的 Kimsuky 惡意軟體有相似之處，包括 BabyShark 和 ReconShark。

據安全研究人員稱，威脅行為者透過利用 ScreenConnect 應用程式中公開的設置嚮導來進入受害者的工作站。隨後，他們利用獲得的「手動鍵盤」存取權限，使用 cmd.exe 執行 mshta.exe，其中包含基於 Visual Basic (VB) 的惡意軟體的 URL。

具體利用的 ConnectWise 缺陷是上個月揭露的 CVE-2024-1708 和 CVE-2024-1709。此後，這些漏洞被各種威脅行為者大量利用來傳播加密貨幣挖礦程式、勒索軟體、遠端存取木馬和竊取惡意軟體。

TODDLERSHARK 擴充了 Kimsuky 工具包

Kimsuky 也被識別為 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet（以前稱為 Thallium）、KTA082、Nickel Kimball 和 Velvet Chollima，不斷擴展其惡意軟體工具包，最新添加的包括 GoBear 和 Troll Stealer。

BabyShark 最初於 2018 年底被發現，是透過 HTML 應用程式 (HTA) 檔案啟動的。一旦激活，VB 腳本惡意軟體就會將系統資訊提取到命令和控制 (C2) 伺服器，保持系統的持久性，並等待操作員的進一步指令。

2023 年 5 月，人們發現 BabyShark 的一個變種 ReconShark 透過魚叉式網路釣魚電子郵件針對特定個人。 TODDLERSHARK 被認為是同一惡意軟體的最新版本，表現出程式碼和行為相似性。

除了利用計畫任務進行持久化之外，TODDLERSHARK 還旨在捕獲和傳輸有關受感染主機的敏感訊息，使其成為有效的偵察工具。研究人員指出，TODDLERSHARK 顯示了多態行為的元素，例如更改程式碼中的身分字串、透過產生的垃圾程式碼更改程式碼位置以及使用唯一產生的C2 URL，這可能會使某些環境中的偵測變得困難。