Logiciel malveillant TODDLESHARK
Les experts en cybersécurité ont identifié un nouveau malware nommé TODDLERSHARK, déployé par des acteurs malveillants nord-coréens qui ont profité des vulnérabilités de sécurité récemment révélées dans ConnectWise ScreenConnect. Un rapport indique que TODDLERSHARK partage des similitudes avec les logiciels malveillants Kimsuky précédemment connus, notamment BabyShark et ReconShark.
Les acteurs liés à la fraude ont accédé au poste de travail de la victime en exploitant les vulnérabilités de l'assistant de configuration de l'application ScreenConnect. Avec cet accès au « clavier pratique », ils ont utilisé cmd.exe pour exécuter mshta.exe, incorporant une URL liée au malware basé sur Visual Basic (VB).
Les vulnérabilités au centre des problèmes de sécurité de ConnectWise sont CVE-2024-1708 et CVE-2024-1709. Depuis que ces vulnérabilités ont été révélées, de nombreux acteurs malveillants les ont largement exploitées. Ces acteurs malveillants ont utilisé les vulnérabilités pour distribuer une gamme de charges utiles dangereuses, notamment des mineurs de cryptomonnaie, des ransomwares, des chevaux de Troie d'accès à distance (RATS) et des logiciels malveillants voleurs.
Table des matières
Les cybercriminels Kimsuky sont parmi les plus actifs
Le groupe Kimsuky Advanced Persistent Threat (APT), reconnu sous divers alias tels que APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anciennement Thallium), KTA082, Nickel Kimball et Velvet Chollima, a constamment élargi son répertoire d'outils malveillants. Parmi les derniers ajouts figurent GoBear et Troll Stealer.
Identifié pour la première fois fin 2018, BabyShark a été lancé via un fichier d'application HTML (HTA). Lors de son exécution, ce malware de script VB extrait les informations système et les envoie à un serveur de commande et de contrôle (C2). De plus, BabyShark établit la persistance sur le système, en attendant des instructions supplémentaires de l'opérateur.
En mai 2023, une variante de BabyShark, nommée ReconShark, a été détectée. Il a été diffusé via des e-mails de spear phishing, ciblant spécifiquement des individus, démontrant l'évolution continue et l'adaptabilité du groupe APT dans ses cyberopérations.
On pense que le logiciel malveillant TODDLESHARK est une évolution des précédentes menaces Kimsuki
TODDLERSHARK est considéré comme la dernière itération du même malware, comme en témoignent ses ressemblances de code et de comportement. En plus d'utiliser une tâche planifiée pour maintenir la persistance, le malware est conçu pour capturer et transmettre efficacement des informations sensibles provenant d'hôtes compromis, fonctionnant comme un outil de reconnaissance précieux.
TODDLERSHARK présente des caractéristiques de comportement polymorphe, se manifestant par des modifications des chaînes d'identité dans son code, par le déplacement de la position du code via du code indésirable généré et par l'utilisation d'URL de commande et de contrôle (C2) générées de manière unique. Ces fonctionnalités contribuent au défi potentiel de détection de ce malware dans certains environnements.
Mesures recommandées par les chercheurs en cybersécurité contre le logiciel malveillant TODDLESHARK
Pour améliorer la sécurité des systèmes exécutant ConnectWise ScreenConnect versions 23.9.7 et antérieures, une action immédiate est essentielle. Il est essentiel de suivre les directives décrites dans l’avis ConnectWise pour remédier aux compromissions potentielles. Il est impératif de donner la priorité à la protection et à la surveillance des systèmes, notamment ceux accessibles sur Internet. Ceci peut être réalisé en déployant un outil de détection et de réponse des points finaux (EDR) ou un outil anti-malware spécifiquement configuré pour effectuer des analyses approfondies du système à la recherche de webshells.
De plus, la mise en œuvre ou la configuration d'un pare-feu d'application Web (WAF) ou d'un système de surveillance du trafic Web comparable est recommandée. Cette mesure facilite l'analyse en temps réel, offrant des capacités de détection améliorées en cas d'exploitation potentielle, contribuant ainsi à une infrastructure de sécurité plus robuste et plus résiliente.
