Kuzey Koreli bilgisayar korsanları, yeni, şekil değiştiren casusluk kötü amaçlı yazılımlarını yaymak için ConnectWise'ın ScreenConnect yazılımındaki kritik bir güvenlik açığını kullanıyor.
İki hafta önce ConnectWise, popüler uzak masaüstü uygulamasında iki kusuru ortaya çıkardı: CVSS ölçeğinde 10 üzerinden 8,4 “yüksek” puan verilen bir yol geçiş hatası olan CVE-2024-1708 ve nadir görülen bir hata olan CVE-2024-1709. “Kritik” 10 üzerinden 10 kimlik doğrulama atlama hatası. Siber saldırganlar neredeyse hiç vakit kaybetmeden saldırıya geçti; en önemlisi, fidye yazılımı gruplarıyla işbirliği yapan ilk erişim aracıları (IAB'ler) – ile binlerce kuruluş ateş hattında.
Kimsuky (diğer adıyla APT43)Kore Demokratik Halk Cumhuriyeti'nin (DPRK) ileri düzey kalıcı tehdidi (APT) de harekete geçiyor. Kroll'un yeni bir blog gönderisine göre, “ToddleShark” adlı yeni bir arka kapıyı dağıtmak için ScreenConnect'ten yararlanılıyor.
Kroll'a göre “İlk erişim için ScreenConnect güvenlik açığı CVE-2024-1709'u kullanan tehdit aktörlerinin listesi artıyor.” “Bu nedenle ScreenConnect uygulamalarına yama uygulanması zorunludur.”
ToddleShark, önceki Kimsuky kötü amaçlı yazılımını temel alıyor ancak algılama önleme yaklaşımıyla öne çıkıyor.
Kuzey Kore ScreenConnect'i Suistimal Ediyor
Son casusluk kampanyalarında Kimsuky çeşitli özel ReconShark dahil arka kapılar ve BabyShark, Kuzey Amerika, Avrupa ve Asya'daki hükümet kuruluşlarına, araştırma merkezlerine, düşünce kuruluşlarına ve üniversitelere karşı.
Bu sefer tercih edilen silah ToddleShark, BabyShark'a oldukça benziyor ancak bazı önemli ilerlemeleri var.
ToddleShark, diğer işlevlerin yanı sıra yapılandırma ayrıntıları, cihazda hangi güvenlik yazılımının yüklü olduğu ve kullanıcı oturumlarının, ağ bağlantılarının, çalışan işlemlerin ve daha fazlasının listeleri de dahil olmak üzere sistem bilgilerini toplar.
Daha sonra bu bilgileri, kriptografik olarak korunan Gizliliği Geliştirilmiş Posta (PEM) sertifikaları aracılığıyla saldırganların kontrol ettiği komuta ve kontrol (C2) sunucularına geri gönderir.
“Bu durumda dağıtılan kötü amaçlı yazılım, meşru bir Microsoft ikili programı olan MSHTA aracılığıyla yürütmeyi kullanıyor ve koddaki kimlik dizelerini değiştirme, oluşturulan önemsiz kod yoluyla kodun konumunu değiştirme ve benzersiz şekilde oluşturulmuş C2 URL'leri kullanma biçiminde polimorfik davranış öğeleri sergiliyor. Kroll araştırmacıları bugün yayınlanan gönderilerinde, bu kötü amaçlı yazılımın bazı ortamlarda tespit edilmesini zorlaştırabilir” dedi.
ToddleShark Kaçış için Rastgeleliği Nasıl Kullanıyor?
ToddleShark, tespitten kaçınmak için rastgele nesil algoritmaları nasıl kullandığıyla öne çıkıyor. Örneğin, statik algılamayı engellemek için değişkenler ve işlevler için rastgele adlar kullanır ve standart imza tabanlı algılamayı karıştırmak için dizelerini ve kod sıralamasını rastgele seçer.
Normal kötü amaçlı kodun arasına büyük miktarda önemsiz kod ve onaltılık kodlanmış kod serpiştirilmiş olup, nihai sonucun biraz karışık görünmesine neden olur.
Engelleme listesi ToddleShark'a karşı da işe yaramıyor çünkü ilk yükün karması ve kötü amaçlı yazılımın ek aşamalarını indirmek için kullanılan URL'ler her zaman farklı.
Bu arka kapıyı tespit etmenin bu kadar zor olması, kuruluşların henüz güncelleme yapmamışlarsa güncelleme yapmaları gerektiğini vurguluyor. ConnectWise müşterileri için bir yama ve diğer kaynaklar mevcuttur satıcının web sitesinde.