Grupul de hackeri nord-coreean APT Kimsuky exploatează vulnerabilitățile ScreenConnect, în special CVE-2024-1708 și CVE-2024-1709, pentru a infecta țintele cu o nouă variantă de malware numită ToddlerShark.
Kimsuky (cunoscut și sub numele de Thallium și Velvet Chollima) este un grup de hackeri sprijinit de statul nord-coreean cunoscut pentru atacuri de spionaj cibernetic asupra organizațiilor și guvernelor din întreaga lume.
Actorii de amenințare exploatează vulnerabilitățile de bypassare a autentificării și execuție de cod dezvăluite la 20 februarie 2024, atunci când ConnectWise a îndemnat clienții ScreenConnect să-și actualizeze imediat serverele la versiunea 23.9.8 sau ulterioară.
Exploatarea publică a celor două vulnerabilități a fost lansată a doua zi, iar hackerii, inclusiv actorii de ransomware, au început rapid să le utilizeze în atacuri reale.
Conform unui raport transmis de echipa de cibernetica a Kroll către BleepingComputer, noul malware Kimsuky, care prezintă trăsături polimorfe, pare să fie conceput pentru spionaj pe termen lung și colectare de informații de intelligence.
ToddlerShark folosește fișiere binare Microsoft legitime pentru a-și minimiza urmele, efectuează modificări în registru pentru a reduce apărarea de securitate și stabilește accesul persistent printr-o serie de sarcini programate, urmate de o fază de furt continuu de date și exfiltrare.
Analiștii Kroll estimează că ToddlerShark este o nouă variantă a backdoor-urilor BabyShark și ReconShark ale lui Kimsuky, văzute anterior vizând organizații guvernamentale, centre de cercetare, universități și think tank-uri din Statele Unite, Europa și Asia.
Hackerii obțin mai întâi accesul inițial la punctele vulnerabile ScreenConnect prin exploatarea vulnerabilităților, care le oferă posibilități de bypassare a autentificării și execuție a codului.
Având stabilit un punct de sprijin, Kimsuky folosește fișiere binare Microsoft legitime, cum ar fi mshta.exe, pentru a executa scripturi malitioase, cum ar fi un VBS puternic obfuscat, amestecându-și activitățile cu procesele normale ale sistemului.
În continuare, malware-ul modifică cheile VBAWarnings în Registrul Windows pentru a permite macro-urilor să ruleze pe diverse versiuni de Microsoft Word și Excel fără a genera notificări.
Sunt create sarcini programate pentru a stabili persistența prin executarea periodică (la fiecare minut) a codului malitios.
ToddleShark adună în mod regulat informații de sistem din dispozitivele infectate, inclusiv următoarele:
În cele din urmă, ToddlerShark encodează informațiile adunate în certificate Privacy Enhanced Mail (PEM), exfiltrate către infrastructura de comandă și control (C2) a atacatorului, o tactică avansată și cunoscută a lui Kimsuky.
O abilitate remarcabilă a noului malware este polimorfismul, care îi permite să evite detectarea în multe cazuri și să facă analiza mai dificilă. ToddlerShark realizează acest lucru prin mai multe tehnici.
În primul rând, folosește funcții și nume de variabile generate aleatoriu în VBScript-ul puternic obfuscat utilizat în etapa inițială de infectare, făcând mai dificilă detectarea statică. Cantități mari de cod codificate în hexazecimal interspersate cu cod nesemnificativ pot face ca încărcătura malware-ului să pară benignă sau neexecutabilă.
În plus, ToddlerShark folosește șiruri și poziționare de cod [funcțional], care modifică suficient modelul său structural pentru a face detectarea bazată pe semnături ineficientă împotriva sa.
În cele din urmă, URL-urile utilizate pentru descărcarea etapelor suplimentare sunt generate dinamic, iar hash-ul încărcăturii inițiale preluate de la C2 este întotdeauna unic, astfel încât metodele standard de blocare sunt făcute neputincioase.
Detalii specifice și indicii de compromis (IoC) legate de ToddlerShark vor fi partajate de Kroll printr-o postare pe blog pe site-ul său mâine.
Actualizare 5/3 – Numele malware-ului corectat la ToddlerShark
Japonia avertizează cu privire la pachetele PyPi malitioase create de hackerii nord-coreeni
Coreea de Nord hack-uiește două companii sud-coreene de chipuri pentru a fura date de inginerie
Malware-ul Linux GTPDOOR furtiv vizează rețelele operatorilor mobili
CISA avertizează cu privire la bug-ul Microsoft Streaming exploatat în atacuri malware
Noul malware Bifrost pentru Linux mimează domeniul VMware pentru evaziune
Leave a Reply