بازیگران تهدید کره شمالی از نقص های امنیتی اخیر فاش شده در ConnectWise ScreenConnect برای استقرار بدافزار جدیدی به نام TODDLERSHARK بهره برداری کرده اند.
طبق گزارشی که Kroll با The Hacker News به اشتراک گذاشته است، TODDLERSHARK با بدافزار شناخته شده Kimsuky مانند BabyShark و ReconShark همپوشانی دارد.
کیت وویسیسزک، جورج گلس و دیو ترومن، محققین امنیتی میگویند[۱]: «بازیگر تهدید با بهرهبرداری از wizard نصب شده برنامه ScreenConnect به workstation قربانی دسترسی پیدا کرد.»
آنها سپس از دسترسی «دست روی صفحهکلید» خود برای استفاده از cmd.exe برای اجرای mshta.exe با URL به بدافزار مبتنی بر ویژوال بیسیک (VB) استفاده کردند.»
نقصهای ConnectWise موردبحث عبارتاند از CVE-2024-1708 و CVE-2024-1709 که ماه گذشته آشکار شدند[۲] و از آن زمان توسط چندین عامل تهدید برای ارائه استخراجکنندگان ارزهای دیجیتال، باجافزارها، تروجانهای دسترسی از راه دور و بدافزارهای دزد مورد بهرهبرداری قرار گرفته است.
Kimsuky که با نامهای APT43، ARCHIPELAGO، Black Banshee، Emerald Sleet (قبلاً Thallium)، KTA082، Nickel Kimball و Velvet Chollima نیز شناخته میشود، به طور پیوسته زرادخانه بدافزار خود را گسترش داده و ابزارهای جدیدی را شامل میشود که جدیدترین آنها GoBear و Troll Stealer هستند[۳].
BabyShark که برای اولینبار در اواخر سال ۲۰۱۸ کشف شد[۴]، با استفاده از یک فایل HTML Application (HTA) راه اندازی شد. پس از راه اندازی، بدافزار اسکریپت VB اطلاعات سیستم را به سرور فرمان و کنترل (C2) استخراج می کند، پایداری سیستم را حفظ می کند و منتظر دستورالعمل های بیشتر از اپراتور است.
سپس در ماه مه ۲۰۲۳، یک نوع از BabyShark با نام ReconShark مشاهده شد[۵] که از طریق ایمیلهای فیشینگ به افراد مورد نظر تحویل داده شد. TODDLERSHARK به دلیل شباهت های کد و رفتاری، آخرین تکامل از یک بدافزار مشابه ارزیابی می شود.
این بدافزار، علاوه بر استفاده از یک کار زمانبندیشده برای پایداری، بهگونهای طراحی شده است که اطلاعات حساس در مورد میزبانهای در معرض خطر را جمعآوری و استخراج کند، در نتیجه بهعنوان یک ابزار شناسایی ارزشمند عمل میکند.
به گفته محققان، TODDLERSHARK عناصر رفتار چندشکلی را به شکل تغییر رشتههای هویت در کد، تغییر موقعیت کد از طریق کد ناخواسته تولید شده، و استفاده از ایجاد منحصربهفرد URLهای C2 نشان میدهد که میتواند تشخیص این بدافزار را در برخی محیطها سخت کند.
این توسعه در حالی صورت میگیرد که سرویس اطلاعات ملی کره جنوبی (NIS) همتای شمالی خود را متهم به در خطر انداختن سرورهای دو تولیدکننده داخلی (و نامشخص) نیمههادی و سرقت دادههای ارزشمند کرد.
نفوذهای دیجیتالی در دسامبر ۲۰۲۳ و فوریه ۲۰۲۴ انجام شد. گفته می شود عوامل تهدید سرورهای آسیب پذیر و در معرض اینترنت را هدف قرار داده اند تا به دسترسی اولیه دست یابند و متعاقباً از تکنیک های living-off-the-land یا LotL به جای حذف بدافزارها برای فرار بهتر از تشخیص استفاده کردهاند.
NIS گفت: «کره شمالی ممکن است به دلیل مشکلات در تهیه نیمههادیها به دلیل تحریمها علیه کره شمالی و افزایش تقاضا به دلیل توسعه تسلیحاتی مانند موشکهای ماهوارهای، آمادهسازی برای تولید نیمههادیهای خود را آغاز کرده باشد.»
منابع
[۱] https://thehackernews.com/2024/02/critical-flaws-found-in-connectwise.html
[۲] https://thehackernews.com/2024/02/kimsukys-new-golang-stealer-troll-and.html
[۳] https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-301a
[۴] https://thehackernews.com/2023/05/n-korean-kimsuky-hackers-using-new.html
[۵] https://www.nis.go.kr:4016/CM/1_4/view.do?seq=286
[۶] https://thehackernews.com/2024/03/hackers-exploit-connectwise.html
ثبت ديدگاه