ToddleShark: новый инструмент скрытного кибершпионажа КНДР

Специалисты компании Kroll сообщают, что северокорейская хакерская группа Kimsuky эксплуатирует уязвимости ScreenConnect для распространения нового варианта вредоносного ПО ToddleShark.

В ходе атак используются следующие недостатки:

• уязвимость обхода пути (path traversal) CVE-2024-1708 (оценка CVSS: 8.4), приводящая к удаленному выполнению кода (Remote Code Execution, RCE).
• уязвимость обхода аутентификации CVE-2024-1709 (оценка CVSS: 10.0), которая предоставляет злоумышленнику прямой доступ к конфиденциальной информации или критически важным системам.

Данные уязвимости были обнародованы 20 февраля, а уже на следующий день в сети появились публичные эксплойты, что привело к масштабному использованию ошибок в кибератаках, в том числе с участием программ-вымогателей.

По данным компании Kroll, вредоносное ПО ToddleShark обладает полиморфными характеристиками и предназначено для длительной разведки и сбора информации. ToddleShark использует легитимные бинарные файлы Microsoft для минимизации своих следов, модифицирует реестр для снижения защиты и создает постоянный доступ к зараженным системам через запланированные задачи, после чего начинается фаза беспрерывной кражи и эксфильтрации данных.

Аналитики Kroll считают, что ToddleShark является новым вариантом ранее известных вредоносных программ Kimsuky – BabyShark и ReconShark, которые ранее использовались в атаках на правительственные организации, исследовательские центры, университеты и аналитические центры в США, Европе и Азии.

Вирус собирает информацию с зараженных устройств, включая:

• названия хостов;
• конфигурацию системы;
• учетные записи пользователей;
• активные сессии;
• настройки сети;
• установленное ПО безопасности;
• текущие сетевые подключения;
• перечень запущенных процессов;
• список установленного программного обеспечения.

Затем ToddleShark кодирует собранную информацию в сертификаты PEM и передает ее на серверы управления и контроля злоумышленников (Command and Control, C2).

Одной из ключевых особенностей ToddleShark является его полиморфизм, позволяющий избежать обнаружения благодаря использованию случайно генерируемых функций и имен переменных, а также динамически изменяемых URL-адресов для загрузки дополнительных стадий вредоносного ПО.

Ожидается, что компания Kroll поделится деталями и индикаторами компрометации (Indicator of Compromise, IoC) ToddleShark на своем сайте в ближайшие дни.