TODDLESHARK-Malware
Cybersicherheitsexperten haben eine neue Malware namens TODDLERSHARK identifiziert, die von nordkoreanischen Bedrohungsakteuren eingesetzt wird, die kürzlich aufgedeckte Sicherheitslücken in ConnectWise ScreenConnect ausnutzen. Einem Bericht zufolge weist TODDLERSHARK Ähnlichkeiten mit bereits bekannter Kimsuky-Malware auf, darunter BabyShark und ReconShark.
Die betrügerischen Akteure griffen auf den Arbeitsplatzrechner des Opfers zu, indem sie Schwachstellen im Einrichtungsassistenten der ScreenConnect-Anwendung ausnutzten. Bei diesem „praktischen Tastaturzugriff“ verwendeten sie cmd.exe, um mshta.exe auszuführen, und integrierten dabei eine URL, die mit der auf Visual Basic (VB) basierenden Malware verknüpft war.
Die Schwachstellen, die im Mittelpunkt der ConnectWise-Sicherheitsbedenken stehen, sind CVE-2024-1708 und CVE-2024-1709. Seitdem diese Schwachstellen aufgedeckt wurden, haben mehrere Bedrohungsakteure sie in großem Umfang ausgenutzt. Diese böswilligen Akteure haben die Schwachstellen ausgenutzt, um eine Reihe unsicherer Nutzlasten zu verbreiten, darunter Kryptowährungs-Miner, Ransomware, Fernzugriffstrojaner (RATS) und Stealer-Malware.
Inhaltsverzeichnis
Die Kimsuky-Cyberkriminellen gehören zu den aktivsten
Die Kimsuky Advanced Persistent Threat (APT)-Gruppe, bekannt unter verschiedenen Aliasen wie APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (ehemals Thallium), KTA082, Nickel Kimball und Velvet Chollima, hat ihr Repertoire an Malware-Tools kontinuierlich erweitert. Zu den neuesten Ergänzungen gehören GoBear und Troll Stealer.
BabyShark wurde erstmals Ende 2018 identifiziert und über eine HTML-Anwendungsdatei (HTA) initiiert. Bei der Ausführung extrahiert diese VB-Skript-Malware Systeminformationen und sendet sie an einen Command-and-Control-Server (C2). Darüber hinaus stellt BabyShark eine Persistenz im System her und wartet auf weitere Anweisungen des Bedieners.
Im Mai 2023 wurde eine Variante von BabyShark namens ReconShark entdeckt. Die Zustellung erfolgte über Spear-Phishing-E-Mails, die sich speziell an Einzelpersonen richteten und die ständige Weiterentwicklung und Anpassungsfähigkeit der Cyber-Operationen der APT-Gruppe unter Beweis stellten.
Es wird angenommen, dass die TODDLESHARK-Malware eine Weiterentwicklung früherer Kimsuki-Bedrohungen ist
TODDLERSHARK gilt als die neueste Version derselben Malware, was sowohl an Code- als auch an Verhaltensähnlichkeiten erkennbar ist. Abgesehen von der Verwendung einer geplanten Aufgabe zur Aufrechterhaltung der Persistenz ist die Malware darauf ausgelegt, vertrauliche Informationen von kompromittierten Hosts effektiv zu erfassen und zu übertragen und so als wertvolles Aufklärungstool zu fungieren.
TODDLERSHARK weist Merkmale polymorphen Verhaltens auf, die sich durch Änderungen in Identitätszeichenfolgen innerhalb seines Codes, durch die Verschiebung der Position des Codes durch generierten Junk-Code und durch die Verwendung eindeutig generierter Befehls- und Kontroll-URLs (C2) manifestieren. Diese Funktionen tragen zu der potenziellen Herausforderung bei, diese Malware in bestimmten Umgebungen zu erkennen.
Von Cybersicherheitsforschern empfohlene Maßnahmen gegen die TODDLESHARK-Malware
Um die Sicherheit von Systemen zu erhöhen, auf denen ConnectWise ScreenConnect-Versionen 23.9.7 und früher ausgeführt werden, ist sofortiges Handeln unerlässlich. Das Befolgen der in der ConnectWise-Beratung dargelegten Richtlinien ist von entscheidender Bedeutung, um potenziellen Kompromissen zu begegnen. Dem Schutz und der Überwachung von Systemen, insbesondere solchen, die über das Internet zugänglich sind, muss unbedingt Priorität eingeräumt werden. Dies kann durch den Einsatz eines Endpoint Detection and Response (EDR) oder Anti-Malware-Tools erreicht werden, das speziell für die Durchführung gründlicher Systemscans für Webshells konfiguriert ist.
Darüber hinaus empfiehlt sich die Implementierung bzw. Konfiguration einer Web Application Firewall (WAF) oder eines vergleichbaren Web-Traffic-Monitoring-Systems. Diese Maßnahme erleichtert die Analyse in Echtzeit, bietet verbesserte Erkennungsmöglichkeiten im Falle einer potenziellen Ausnutzung und trägt so zu einer robusteren und widerstandsfähigeren Sicherheitsinfrastruktur bei.
