Северокорейцы взламывают сервера ScreenConnect с помощью маленькой вредоносной акулы

Северокорейцы взламывают сервера ScreenConnect с помощью маленькой вредоносной акулы

TODDLERSHARK и CVE-2024-1708 – идеальное комбо для кибершпиона.

image

Северокорейские хакеры использовали недавно обнаруженные уязвимости в ConnectWise ScreenConnect для развертывания нового вредоносного ПО под названием TODDLERSHARK.

По данным отчета компании Kroll, TODDLERSHARK имеет схожие черты с известными вредоносами Kimsuky, такими как BabyShark и ReconShark.

«Злоумышленники получили доступ к рабочим станциям жертв, эксплуатируя уязвимость в мастере настройки приложения ScreenConnect», — сообщают исследователи информационной безопасности Кит Войцешек, Джордж Гласс и Дэйв Труман. «Затем они использовали полученный доступ для выполнения mshta.exe с URL-адресом вредоносного ПО, написанного на Visual Basic».

Речь идет об уязвимостях ConnectWise CVE-2024-1708 и CVE-2024-1709, о которых стало известно в конце февраля . С тех пор они активно эксплуатируются различными группировками для доставки майнеров криптовалют, программ-вымогателей, ПО удаленного доступа и инфостилеров.

Группировка Kimsuky, также известная как APT43, постоянно расширяет свой арсенал вредоносов, последними из которых стали GoBear и Troll Stealer. BabyShark, обнаруженный в конце 2018 года, запускается с помощью HTML-приложения. Проникнув в систему, он похищает системную информацию, сохраняет присутствие и ждет дальнейших указаний указаний оператора.

В мае 2023 года был замечен вариант BabyShark под названием ReconShark, распространявшийся через фишинговые письма. TODDLERSHARK считается новейшей эволюцией этого вредоноса из-за сходства кода и тактики.

В основном этот софт предназначен для кражи конфиденциальных данных со скомпрометированных систем, действуя как инструмент кибершпионажа.

Разработчики предупреждают, что TODDLERSHARK «проявляет элементы полиморфного поведения, что может затруднить его обнаружение в некоторых средах».

Тем временем Национальная разведывательная служба Южной Кореи обвинила КНДР в компрометации серверов двух отечественных производителей полупроводников и краже ценных данных в декабре 2023 и феврале 2024 года. Предполагается , что Северная Корея может готовиться к собственному производству полупроводников из-за трудностей с закупками, вызванных санкциями, и растущим спросом на них для разработки вооружений.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!