Kuzey Koreli tehdit aktörleri, ConnectWise ScreenConnect'te yakın zamanda açıklanan güvenlik kusurlarından yararlanarak yeni bir kötü amaçlı yazılım dağıttı. TODDLERSHARK.
Kroll'un The Hacker News ile paylaştığı bir rapora göre TODDLERSHARK, BabyShark ve ReconShark gibi bilinen Kimsuky kötü amaçlı yazılımlarıyla örtüşüyor.
Güvenlik araştırmacıları Keith Wojcieszek, George Glass ve Dave Truman, “Tehdit aktörü, ScreenConnect uygulamasının açıkta kalan kurulum sihirbazını kullanarak kurbanın iş istasyonuna erişim sağladı” dedi.
“Daha sonra mshta.exe'yi Visual Basic (VB) tabanlı kötü amaçlı yazılıma yönelik bir URL ile çalıştırmak için cmd.exe'yi kullanmak üzere artık 'elleri klavyede' erişiminden yararlandılar.”
Söz konusu ConnectWise kusurları, geçen ay ortaya çıkan ve o zamandan bu yana kripto para birimi madencileri, fidye yazılımı, uzaktan erişim truva atları ve hırsız kötü amaçlı yazılımlar sunmak için birden fazla tehdit aktörü tarafından yoğun şekilde istismar edilen CVE-2024-1708 ve CVE-2024-1709'dur.
APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (önceden Thallium), KTA082, Nickel Kimball ve Velvet Chollima olarak da bilinen Kimsuky, kötü amaçlı yazılım cephaneliğini, en yenileri GoBear ve Troll Stealer olmak üzere yeni araçları içerecek şekilde sürekli olarak genişletti.
İlk olarak 2018'in sonlarında keşfedilen BabyShark, bir HTML Uygulaması (HTA) dosyası kullanılarak başlatıldı. VB komut dosyası kötü amaçlı yazılımı başlatıldığında, sistem bilgilerini bir komuta ve kontrol (C2) sunucusuna sızdırır, sistemde kalıcılığı korur ve operatörden daha fazla talimat bekler.
Daha sonra Mayıs 2023'te, BabyShark'ın ReconShark adlı bir çeşidinin, hedef odaklı kimlik avı e-postaları aracılığıyla özel olarak hedeflenen kişilere gönderildiği gözlemlendi. TODDLERSHARK'ın kod ve davranışsal benzerlikler nedeniyle aynı kötü amaçlı yazılımın en son evrimi olduğu değerlendiriliyor.
Kötü amaçlı yazılım, kalıcılık için zamanlanmış bir görev kullanmanın yanı sıra, tehlikeye atılan ana bilgisayarlar hakkındaki hassas bilgileri yakalayıp sızdırmak üzere tasarlanmıştır, böylece değerli bir keşif aracı olarak hareket eder.
Araştırmacılar, TODDLERSHARK'ın “koddaki kimlik dizilerini değiştirme, oluşturulan önemsiz kod aracılığıyla kodun konumunu değiştirme ve benzersiz şekilde oluşturulan C2 URL'leri kullanma şeklinde polimorfik davranış öğeleri sergilediğini ve bu kötü amaçlı yazılımın bazı ortamlarda tespit edilmesini zorlaştırabileceğini” söyledi. .
Bu gelişme, Güney Kore Ulusal İstihbarat Servisi'nin (NIS) kuzeydeki mevkidaşını iki yerli (ve isimsiz) yarı iletken üreticisinin sunucularının güvenliğini ihlal etmek ve değerli verileri çalmakla suçlamasının ardından geldi.
Dijital izinsiz girişler Aralık 2023 ve Şubat 2024'te gerçekleşti. Tehdit aktörlerinin ilk erişim elde etmek için internete açık ve savunmasız sunucuları hedef aldıkları, ardından kötü amaçlı yazılımları bırakmak yerine arazide yaşama (LotL) tekniklerinden yararlandıkları söyleniyor. tespit edilmekten daha iyi kaçınmak için.
NIS, “Kuzey Kore'ye yönelik yaptırımlar nedeniyle yarı iletken tedarikinde yaşanan zorluklar ve uydu füzeleri gibi silahların geliştirilmesi nedeniyle artan talep nedeniyle Kuzey Kore, kendi yarı iletken üretimi için hazırlıklara başlamış olabilir” dedi.