Grupul de hacking APT nord-coreean Kimsuky exploatează defectele ScreenConnect, în special CVE-2024-1708 și CVE-2024-1709, pentru a infecta țintele cu o nouă variantă de malware numită ToddleShark.
Kimsuky (cunoscut și sub numele de Thallium și Velvet Chollima) este un grup de hacking sponosrizat de statul nord-coreean cunoscut pentru atacuri de spionaj cibernetic asupra organizațiilor și guvernelor din întreaga lume.
Actorii de amenințare exploatează defectele de bypassare a autentificării și execuție de cod dezvăluite la 20 februarie 2024, când ConnectWise a cerut clienților ScreenConnect să-și upgradeze imediat serverele la versiunea 23.9.8 sau ulterioară.
Exploatațiile publice pentru cele două defecte au fost lansate a doua zi și hackerii, inclusiv actorii de ransomware, au început rapid să le folosească în atacuri reale.
Potrivit unui raport viitor al echipei de ciberspionaj a Kroll partajat cu BleepingComputer, noul malware Kimsuky, care prezintă trăsături polimorfe, pare să fi fost proiectat pentru spionaj pe termen lung și colectare de informații.
ToddleShark folosește fișiere binare Microsoft legitime pentru a minimiza urmele, efectuează modificări de registru pentru a reduce apărarea de securitate și stabilește acces persistent prin sarcini programate, urmate de o fază de furt și exfiltrare continuă a datelor.
Analiștii Kroll estimează că ToddleShark este o nouă variantă a backdoor-urilor BabyShark și ReconShark ale lui Kimsuky, văzute anterior vizând organizații guvernamentale, centre de cercetare, universități și think-tank-uri din Statele Unite, Europa și Asia.
Hackerii obțin mai întâi accesul inițial la punctele terminale vulnerabile ScreenConnect prin exploatarea vulnerabilităților, care le oferă bypassare a autentificării și capacități de execuție de cod.
Având stabilit un punct de sprijin, Kimsuky folosește fișiere binare Microsoft legitime, cum ar fi mshta.exe, pentru a executa scripturi malitioase precum un VBS puternic obfuscat, amestecându-și activitățile cu procesele normale de sistem.
În continuare, malware-ul schimbă cheile VBAWarnings în Registrul Windows pentru a permite macro-urilor să ruleze pe diferite versiuni de Microsoft Word și Excel fără a genera notificări.
Sunt create sarcini programate pentru a stabili persistența prin executarea periodică (la fiecare minut) a codului malicios.
ToddleShark colectează în mod regulat informații de sistem de pe dispozitivele infectate, incluzând următoarele:
În cele din urmă, ToddleShark codifică informațiile colectate în certificate Privacy Enhanced Mail (PEM), exfiltrate către infrastructura de comandă și control (C2) a atacatorului, o tactică avansată și cunoscută a lui Kimsuky.
O capacitate remarcabilă a noului malware este polimorfismul, care îi permite să evite detectarea în multe cazuri și să facă analiza mai dificilă. ToddleShark realizează acest lucru printr-o serie de tehnici.
În primul rând, folosește funcții și nume de variabile generate aleatoriu în VBS puternic obfuscat utilizat în pasul inițial de infectare, făcând mai dificilă detectarea statică. Cantități mari de cod codificat în hexazecimal interspersat cu cod de rebut pot face ca payload-ul malware să pară benign sau neexecutabil.
În plus, ToddleShark folosește șiruri și poziționare de cod [funcțional] aleatorii, care își modifică suficient modelul structural pentru a face detectarea bazată pe semnături ineficientă împotriva sa.
În cele din urmă, URL-urile folosite pentru descărcarea etapelor suplimentare sunt generate dinamic, iar hash-ul payload-ului inițial extras din C2 este întotdeauna unic, astfel încât metodele standard de blocare sunt făcute neputincioase.
Detalii specifice și (indicatori de compromitere) IoC-uri legate de ToddleShark vor fi partajate de Kroll printr-un post pe blog pe site-ul său mâine.
Leave a Reply