TODDLESHARK マルウェア

サイバーセキュリティ専門家は、最近明らかになった ConnectWise ScreenConnect のセキュリティ脆弱性を悪用した北朝鮮の攻撃者によって展開された TODDLERSHARK という新しいマルウェアを特定しました。レポートによると、TODDLERSHARK は、 BabySharkや ReconShark などの既知の Kimsuky マルウェアと類似点を共有しています。

詐欺関連の攻撃者は、ScreenConnect アプリケーションのセットアップ ウィザードの脆弱性を悪用して、被害者のワークステーションにアクセスしました。この「ハンズオン キーボード」アクセスにより、彼らは cmd.exe を使用して mshta.exe を実行し、Visual Basic (VB) ベースのマルウェアにリンクされた URL を組み込みました。

ConnectWise のセキュリティ上の懸念の中心となる脆弱性は、CVE-2024-1708 と CVE-2024-1709 です。これらの脆弱性が公開されて以来、複数の脅威アクターによって広範囲に悪用されています。これらの悪意のある攻撃者は、この脆弱性を利用して、仮想通貨マイナー、ランサムウェア、リモート アクセス トロイの木馬 (RATS)、スティーラー マルウェアなど、さまざまな安全でないペイロードを配布しました。

Kimsuky サイバー犯罪者は最も活発な犯罪者の 1 つです

Kimsuky Advanced Persistent Threat (APT) グループは、APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet (旧名 Thallium)、KTA082、Nickel Kimball、Velvet Chollima などのさまざまな別名で認識され、マルウェア ツールのレパートリーを着実に拡大してきました。最新の追加には、GoBear とTroll Stealer があります。

2018 年後半に初めて確認された BabyShark は、HTML アプリケーション (HTA) ファイルを通じて開始されました。この VB スクリプト マルウェアは実行されるとシステム情報を抽出し、コマンド アンド コントロール (C2) サーバーに送信します。さらに、BabyShark はシステム上で永続性を確立し、オペレーターからのさらなる指示を待ちます。

2023 年 5 月に、ReconShark という名前の BabyShark の亜種が検出されました。これは、特に個人をターゲットにしたスピアフィッシングメールを通じて配信され、APT グループのサイバー運用における継続的な進化と適応性を示しました。

TODDLESHARK マルウェアは、以前の Kimskin 脅威が進化したものであると考えられています

TODDLERSHARK は、コードと動作の類似性の両方から明らかなように、同じマルウェアの最新の反復であると考えられています。このマルウェアは、永続性を維持するためにスケジュールされたタスクを利用するだけでなく、侵害されたホストから機密情報を効果的に取得して送信するように設計されており、貴重な偵察ツールとして機能します。

TODDLERSHARK は、コード内の ID 文字列の変更、生成されたジャンク コードによるコードの位置の移動、および独自に生成されたコマンド アンド コントロール (C2) URL の使用を通じて現れるポリモーフィックな動作の特性を示します。これらの機能は、特定の環境でこのマルウェアを検出するという潜在的な課題に貢献します。

TODDLESHARK マルウェアに対してサイバーセキュリティ研究者が推奨する対策

ConnectWise ScreenConnect バージョン 23.9.7 以前を実行しているシステムのセキュリティを強化するには、直ちに対処することが重要です。 ConnectWise アドバイザリで概説されているガイドラインに従うことは、潜在的な侵害に対処するために非常に重要です。システム、特にインターネット上でアクセス可能なシステムの保護と監視を優先することが不可欠です。これは、Web シェルの徹底したシステム スキャンを実行するように特別に構成されたエンドポイント検出と応答 (EDR) またはマルウェア対策ツールを導入することで実現できます。

さらに、Web アプリケーション ファイアウォール (WAF) または同等の Web トラフィック監視システムの実装または構成をお勧めします。この措置により、リアルタイム分析が容易になり、悪用の可能性がある場合の検出機能が強化され、より堅牢で回復力のあるセキュリティ インフラストラクチャに貢献します。