Северокорейские злоумышленники воспользовались недавно обнаруженными недостатками безопасности ConnectWise ScreenConnect для развертывания нового вредоносного ПО под названием TODDLERSHARK.
Согласно отчету, опубликованному Kroll для The Hacker News, TODDLERSHARK пересекается с известными вредоносными программами Kimsuky, такими как BabyShark и ReconShark.
"Субъект угрозы получил доступ к рабочей станции жертвы, воспользовавшись открытым мастером настройки приложения ScreenConnect", - заявили исследователи безопасности Кит Войцешек, Джордж Гласс и Дэйв Трумэн.
"Затем они воспользовались своим доступом "руки на клавиатуре", чтобы использовать cmd.exe для выполнения mshta.exe URL-адрес вредоносного ПО на основе Visual Basic (VB)".
К недостаткам ConnectWise, о которых идет речь, относятся CVE-2024-1708 и CVE-2024-1709, которые были обнаружены в прошлом месяце и с тех пор активно используются многочисленными участниками угроз для доставки майнеров криптовалют, программ-вымогателей, троянов удаленного доступа и вредоносных программ-краж.
Kimsuky, также известная как APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (ранее Thallium), KTA082, Nickel Kimball и Velvet Chollima, постоянно расширяет свой арсенал вредоносных программ, включая новые инструменты, самыми последними из которых являются GoBear и Troll Stealer.
BabyShark, впервые обнаруженный в конце 2018 года, запускается с использованием файла HTML-приложения (HTA). После запуска вредоносное ПО VB script передает системную информацию на сервер командования и управления (C2), сохраняет сохраняемость в системе и ожидает дальнейших инструкций от оператора.
Затем, в мае 2023 года, был замечен вариант BabyShark, получивший название ReconShark, который доставлялся специально нацеленным лицам через фишинговые электронные письма. TODDLERSHARK оценивается как новейшая эволюция того же вредоносного ПО из-за сходства кода и поведения.
Вредоносное ПО, помимо использования запланированной задачи для сохранения, разработано для сбора и эксфильтрации конфиденциальной информации о скомпрометированных хостах, действуя тем самым как ценный инструмент разведки.
TODDLERSHARK "демонстрирует элементы полиморфного поведения в виде изменения строк идентификаторов в коде, изменения положения кода с помощью сгенерированного нежелательного кода и использования уникально генерируемых URL-адресов C2, что может затруднить обнаружение этого вредоносного ПО в некоторых средах", - сказали исследователи.
Это произошло после того, как Национальная разведывательная служба Южной Кореи (NIS) обвинила своего северного коллегу в том, что он якобы взломал серверы двух отечественных (и неназванных) производителей полупроводников и похитил ценные данные.
Цифровые вторжения произошли в декабре 2023 и феврале 2024 годов. Сообщается, что злоумышленники нацелились на открытые для Интернета и уязвимые серверы, чтобы получить первоначальный доступ, впоследствии используя методы "проживания за пределами земли" (LotL) вместо удаления вредоносного ПО, чтобы лучше избежать обнаружения.
"Северная Корея, возможно, начала подготовку к собственному производству полупроводников из-за трудностей с закупкой полупроводников из-за санкций против Северной Кореи и повышенного спроса из-за разработки оружия, такого как спутниковые ракеты", - сказал НИС.
Согласно отчету, опубликованному Kroll для The Hacker News, TODDLERSHARK пересекается с известными вредоносными программами Kimsuky, такими как BabyShark и ReconShark.
"Субъект угрозы получил доступ к рабочей станции жертвы, воспользовавшись открытым мастером настройки приложения ScreenConnect", - заявили исследователи безопасности Кит Войцешек, Джордж Гласс и Дэйв Трумэн.
"Затем они воспользовались своим доступом "руки на клавиатуре", чтобы использовать cmd.exe для выполнения mshta.exe URL-адрес вредоносного ПО на основе Visual Basic (VB)".
К недостаткам ConnectWise, о которых идет речь, относятся CVE-2024-1708 и CVE-2024-1709, которые были обнаружены в прошлом месяце и с тех пор активно используются многочисленными участниками угроз для доставки майнеров криптовалют, программ-вымогателей, троянов удаленного доступа и вредоносных программ-краж.
Kimsuky, также известная как APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (ранее Thallium), KTA082, Nickel Kimball и Velvet Chollima, постоянно расширяет свой арсенал вредоносных программ, включая новые инструменты, самыми последними из которых являются GoBear и Troll Stealer.
BabyShark, впервые обнаруженный в конце 2018 года, запускается с использованием файла HTML-приложения (HTA). После запуска вредоносное ПО VB script передает системную информацию на сервер командования и управления (C2), сохраняет сохраняемость в системе и ожидает дальнейших инструкций от оператора.
Затем, в мае 2023 года, был замечен вариант BabyShark, получивший название ReconShark, который доставлялся специально нацеленным лицам через фишинговые электронные письма. TODDLERSHARK оценивается как новейшая эволюция того же вредоносного ПО из-за сходства кода и поведения.
Вредоносное ПО, помимо использования запланированной задачи для сохранения, разработано для сбора и эксфильтрации конфиденциальной информации о скомпрометированных хостах, действуя тем самым как ценный инструмент разведки.
TODDLERSHARK "демонстрирует элементы полиморфного поведения в виде изменения строк идентификаторов в коде, изменения положения кода с помощью сгенерированного нежелательного кода и использования уникально генерируемых URL-адресов C2, что может затруднить обнаружение этого вредоносного ПО в некоторых средах", - сказали исследователи.
Это произошло после того, как Национальная разведывательная служба Южной Кореи (NIS) обвинила своего северного коллегу в том, что он якобы взломал серверы двух отечественных (и неназванных) производителей полупроводников и похитил ценные данные.
Цифровые вторжения произошли в декабре 2023 и феврале 2024 годов. Сообщается, что злоумышленники нацелились на открытые для Интернета и уязвимые серверы, чтобы получить первоначальный доступ, впоследствии используя методы "проживания за пределами земли" (LotL) вместо удаления вредоносного ПО, чтобы лучше избежать обнаружения.
"Северная Корея, возможно, начала подготовку к собственному производству полупроводников из-за трудностей с закупкой полупроводников из-за санкций против Северной Кореи и повышенного спроса из-за разработки оружия, такого как спутниковые ракеты", - сказал НИС.
