Kroll раскрыла детали новой кибератаки Kimsuky с использованием ScreenConnect.
Специалисты компании Kroll сообщают, что северокорейская хакерская группа Kimsuky эксплуатирует уязвимости ScreenConnect для распространения нового варианта вредоносного ПО ToddleShark.
В ходе атак используются следующие недостатки:
Данные уязвимости были обнародованы 20 февраля, а уже на следующий день в сети появились публичные эксплойты, что привело к масштабному использованию ошибок в кибератаках, в том числе с участием программ-вымогателей.
По данным компании Kroll, вредоносное ПО ToddleShark обладает полиморфными характеристиками и предназначено для длительной разведки и сбора информации. ToddleShark использует легитимные бинарные файлы Microsoft для минимизации своих следов, модифицирует реестр для снижения защиты и создает постоянный доступ к зараженным системам через запланированные задачи, после чего начинается фаза беспрерывной кражи и эксфильтрации данных.
Аналитики Kroll считают, что ToddleShark является новым вариантом ранее известных вредоносных программ Kimsuky – BabyShark и ReconShark, которые ранее использовались в атаках на правительственные организации, исследовательские центры, университеты и аналитические центры в США, Европе и Азии.
Вирус собирает информацию с зараженных устройств, включая:
Затем ToddleShark кодирует собранную информацию в сертификаты PEM и передает ее на серверы управления и контроля злоумышленников (Command and Control, C2).
Одной из ключевых особенностей ToddleShark является его полиморфизм, позволяющий избежать обнаружения благодаря использованию случайно генерируемых функций и имен переменных, а также динамически изменяемых URL-адресов для загрузки дополнительных стадий вредоносного ПО.
Ожидается, что компания Kroll поделится деталями и индикаторами компрометации (Indicator of Compromise, IoC) ToddleShark на своем сайте в ближайшие дни.
Ладно, не доказали. Но мы работаем над этим