Η Βορειοκορεάτες hackers Kimsuky εκμεταλλεύονται ευπάθειες ScreenConnect, και ιδιαίτερα τις CVE-2024-1708 και CVE-2024-1709, για να μολύνουν στόχους με το νέο ToddleShark malware.
Οι Kimsuky (γνωστοί και ως Thallium και Velvet Chollima) είναι κρατικοί hackers, γνωστοί για επιθέσεις κυβερνοκατασκοπείας σε οργανισμούς και κυβερνήσεις.
Οι δύο ευπάθειες που εκμεταλλεύονται οι hackers, επιτρέπουν παράκαμψη ελέγχου ταυτότητας και απομακρυσμένη εκτέλεση κώδικα και αποκαλύφθηκαν στις 20 Φεβρουαρίου 2024, όταν η ConnectWise προέτρεψε τους πελάτες του ScreenConnect να αναβαθμίσουν στην έκδοση 23.9.8 ή μεταγενέστερη.
Σύμφωνα με μια επικείμενη αναφορά της Kroll που κοινοποιήθηκε στο BleepingComputer, το ToddleShark malware των Kimsuky hackers εμφανίζει πολυμορφικά χαρακτηριστικά και έχει σχεδιαστεί για μακροχρόνια κατασκοπεία και συλλογή πληροφοριών.
Το ToddleShark χρησιμοποιεί νόμιμα Microsoft binaries για να μην γίνεται εύκολα αντιληπτό και εκτελεί τροποποιήσεις μητρώου για να μειώσει τις άμυνες ασφαλείας. Επίσης, δημιουργεί μόνιμη πρόσβαση μέσω scheduled tasks και στη συνέχεια ξεκινά η κλοπή δεδομένων.
Δείτε επίσης: Επίθεση τύπου Stuxnet μέσω διαδικτυακού PLC malware
ToddleShark malware: Λεπτομέρειες
Οι αναλυτές της Kroll εκτιμούν ότι το ToddleShark είναι μια νέα παραλλαγή των backdoors BabyShark και ReconShark που χρησιμοποιούν συχνά οι hackers Kimsuky. Αυτά τα backdoors είχαν χρησιμοποιηθεί για τη στόχευση κυβερνητικών οργανισμών, ερευνητικών κέντρων, πανεπιστημίων και think tanks στις Ηνωμένες Πολιτείες, την Ευρώπη και την Ασία.
Οι Βορειοκορεάτες hackers αποκτούν αρχικά πρόσβαση σε ευάλωτα τελικά σημεία ScreenConnect, εκμεταλλευόμενοι τις δύο ευπάθειες. Όπως προείπαμε, οι ευπάθειες επιτρέπουν την παράκαμψη ελέγχου ταυτότητας και την εκτέλεση κώδικα.
Στη συνέχεια, η Kimsuky χρησιμοποιεί νόμιμα Microsoft binaries, όπως το mshta.exe, για να εκτελέσει κακόβουλα scripts, συνδυάζοντας τις δραστηριότητες με κανονικές διαδικασίες συστήματος.
Έπειτα, το ToddleShark malware αλλάζει τα VBAWarnings keys στο Windows Registry για να επιτρέψει στις μακροεντολές να εκτελούνται σε διάφορες εκδόσεις του Microsoft Word και του Excel, χωρίς να δημιουργούνται ειδοποιήσεις.
Τα Scheduled tasks δημιουργούνται για να εδραιωθεί persistence εκτελώντας περιοδικά (κάθε λεπτό) τον κακόβουλο κώδικα.
Δείτε επίσης: Hackers υπέρ της Χαμάς στοχεύουν το Ισραήλ με το BiBi malware
Το ToddleShark malware συλλέγει τακτικά πληροφορίες συστήματος από μολυσμένες συσκευές:
- Όνομα κεντρικού υπολογιστή
- Λεπτομέρειες διαμόρφωσης συστήματος
- Λογαριασμοί χρηστών
- Συνεδρίες ενεργών χρηστών
- Διαμορφώσεις δικτύου
- Εγκατεστημένο λογισμικό ασφαλείας
- Όλες οι τρέχουσες συνδέσεις δικτύου
- Αριθμός διεργασιών που εκτελούνται
Τέλος, το ToddleShark κωδικοποιεί τις συγκεντρωμένες πληροφορίες και τις στέλνει στον command and control (C2) των Kimsuky hackers.
ToddleShark: Ένα Πολυμορφικό malware
To ToddleShark είναι ένα πολυμορφικό malware, κάτι που του επιτρέπει να αποφεύγει τον εντοπισμό σε πολλές περιπτώσεις και να κάνει την ανάλυση πιο δύσκολη. Το ToddleShark το πετυχαίνει αυτό με διάφορες τεχνικές.
Για παράδειγμα, χρησιμοποιεί randomly generated functions και variable names στο obfuscated VBScript που χρησιμοποιείται στο αρχικό βήμα μόλυνσης. Έτσι, είναι πιο δύσκολη η στατική ανίχνευση. Επίσης, μεγάλες ποσότητες hexadecimal encoded code που διασκορπίζονται με ανεπιθύμητο κώδικα, μπορεί να κάνουν το malware payload να φαίνεται αβλαβές ή μη εκτελέσιμο.
Επιπλέον, το ToddleShark malware χρησιμοποιεί randomized strings και [functional] code positioning, αλλάζοντας αρκετά το δομικό μοτίβο του, ώστε να είναι δύσκολη η signature-based ανίχνευση.
Για να προστατευτεί ένας οργανισμός από τα malware, όπως το ToddleShark, θα πρέπει να διατηρεί το λογισμικό και το λειτουργικό σύστημα των συσκευών του ενημερωμένα. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να αποτρέψουν την είσοδο του malware στο σύστημα.
Δείτε επίσης: Calendly Link διαδίδουν malware σε συσκευές Mac
Επιπλέον, οι χρήστες θα πρέπει να είναι προσεκτικοί με τα email και τα συνημμένα αρχεία που λαμβάνουν. Τα malware συχνά διαδίδονται μέσω phishing επιθέσεων, όπου οι επιτιθέμενοι προσπαθούν να εξαπατήσουν τους χρήστες να κάνουν κλικ σε επιβλαβείς συνδέσμους ή να ανοίξουν επικίνδυνα συνημμένα.
Η χρήση ενός αξιόπιστου προγράμματος antivirus είναι επίσης ζωτικής σημασίας. Αυτά τα προγράμματα μπορούν να ανιχνεύσουν και να απομακρύνουν το malware πριν αυτό προκαλέσει ζημιά στο σύστημα.
Τέλος, η δημιουργία τακτικών αντιγράφων ασφαλείας των σημαντικών δεδομένων μπορεί να βοηθήσει στην αποφυγή της απώλειας δεδομένων σε περίπτωση επίθεσης.
Πηγή: www.bleepingcomputer.com