Erkennung der TODDLERSHARK-Malware: Hacker nutzen die Schwachstellen CVE-2024-1708 und CVE-2024-1709 zur Verbreitung einer neuen BABYSHARK-Variante
Inhaltsverzeichnis:
Eine neue Malware-Iteration namens TODDLERSHARK rückt in den Vordergrund der Cyberbedrohungswelt, die eine auffällige Ähnlichkeit mit den bösartigen Stämmen BABYSHARK oder ReconShark aufweist, die von der nordkoreanischen APT-Gruppe bekannt als Kimsuky APTgenutzt werden. Die Infektionskette wird ausgelöst durch die Ausnutzung von zwei kritischen ConnectWise ScreenConnect-Schwachstellen, die als CVE-2024-1708 und CVE-2024-1709 verfolgt werden, die massiv von Gegnern ausgenutzt wurden.
Erkennen von TODDLERSHARK-Malware-Varianten
Rund 5,4 Milliarden Malware-Angriffe wurden 2022 entdeckt. Da ihre Anzahl und Komplexität kontinuierlich zunimmt, suchen Sicherheitsexperten nach fortschrittlichen Lösungen, um die Effizienz bei Bedrohungserkennung und Bedrohungsjagd zu verbessern. Die SOC Prine Platform für kollektive Cyberverteidigung aggregiert den weltweit größten Feed von verhaltensbasierten Erkennungsalgorithmen gekoppelt mit modernsten Tools, um die Cybersicherheit der Organisation auf die nächste Stufe zu heben.
Um mögliche bösartige Aktivitäten im Zusammenhang mit dem neuartigen TODDLERSHARK-Stamm zu identifizieren, den Kimsuky APT nutzt, können sich Cyberverteidiger auf den umfangreichen Erkennungsstack von SOC Prime verlassen. Klicken Sie einfach auf den Erkunden von Erkennungen Knopf unten und tauchen Sie tiefer in die relevanten Erkennungsalgorithmen ein, die mit 28 SIEM-, EDR-, XDR- und Data Lake-Lösungen kompatibel sind und auf MITRE ATT&CK v14.1 abgebildet sind. Alle Regeln werden von detaillierten Metadaten begleitet, einschließlich CTI-Referenzen, Angriffstakten, Triage-Empfehlungen und mehr.
Um die Bedrohungsuntersuchung zu vereinfachen und zusätzlichen Kontext zu erlangen, könnten Sicherheitsexperten in SOC Prime nach relevanteren Regeln suchen, indem sie die Tags „Kimsuky“, „CVE-2024-1708“, „CVE-2024-1709“ und „BABYSHARK“ verwenden.
TODDLERSHARK-Malware-Analyse: Was hinter einer neuen BABYSHARK-Iteration steckt
Die Kroll-Forscher haben kürzlich eine Gegner-Kampagne bemerkt die eine neuartige Malware einsetzt, die eine auffällige Ähnlichkeit mit BABYSHARK aufweist, die dafür bekannt ist, von der berüchtigten nordkoreanischen Kimsuky APT-Gruppe (auch bekannt als APT43, STOLEN PENCIL, Thallium, Black Banshee oder Velvet Chollima) genutzt zu werden.
Kimsuky wurde lange Zeit dabei beobachtet, mit verschiedenen bösartigen Stämmen zu experimentieren, um ihr offensives Arsenal zu bereichern. Seit 2013 sorgt das Hacker-Kollektiv in der Cyberbedrohungswelt für Aufsehen, wobei Südkorea ihr primäres Ziel ist. Im Januar 2022 setzte Kimsuky Open-Source-RATs und ein benutzerdefiniertes Gold Dragon-Hintertür ein, um südkoreanische Organisationen zu infiltrieren und die Datenexfiltration zu erleichtern.
Im Februar 2024 nutzten die nordkoreanischen Hacker einen neuen, auf Golang basierenden Informationsdieb namens Troll Stealer, zusammen mit GoBear-Malware-Varianten in gezielten Angriffen gegen Südkorea.
In der kürzlich beobachteten Kampagne begann die bösartige Aktivität durch den Missbrauch neu gepatchter Authentifizierungsumgehungsfehler in der ConnectWide ScreenConnect-Software, die als CVE-2024-1708 (mit dem höchstmöglichen CVSS-Score von 10) und CVE-2024-1709 (mit einem CVSS-Score von 8,4) verfolgt werden. In der laufenden böswilligen Operation, die möglicherweise mit Kimsuky in Verbindung steht, wird CVE-2024-1709 für den Erstzugriff genutzt, indem die Liste der Hacker erweitert wird, die die kritischen ConnectWide ScreenConnect-Schwächen ausnutzen. Beide Schwachstellen wurden seit ihrem Auftreten im Februar 2024 im Bedrohungszenario im großen Stil von mehreren Hackergruppen ausgenutzt. Wenn sie zusammengeführt werden, ermöglichen CVE-2024-1709 und CVE-2024-1708 es Gegnern, nach der Authentifizierung RCE durchzuführen.
Die BABYSHARK-Malware erschien erstmals Ende 2018, eingeführt durch eine HTA-Datei. Nach der Ausführung sammelt die VB-Script-Malware Systemdaten und sendet diese an einen C2-Server. Im späten Frühjahr tauchte eine weitere BABYSHARK-Iteration namens ReconShark auf, die über gezielte Spear-Phishing-E-Mails verbreitet wurde. TODDLERSHARK wird aufgrund der Code-Ähnlichkeit und der ähnlichen Verhaltensmuster als die jüngste Iteration dieser Malware angesehen.
Der Hauptfokus der Malware-Fähigkeiten liegt auf der Komponente zum Stehlen von Systeminformationen. Abgesehen von der Anwendung eines geplanten Tasks, um Persistenz zu erhalten, fungiert die Malware als Aufklärungstool, das in der Lage ist, sensible Informationen von kompromittierten Geräten zu exfiltrieren. Die gestohlenen Informationen umfassen Details zum Host, Benutzer, Netzwerk- und Sicherheitssoftwaredaten sowie Daten zu installierter Software und laufenden Prozessen. Nachdem diese Daten gesammelt wurden, werden sie kodiert und zur Exfiltration an die C2-Webanwendung gesendet.
TODDLERSHARK verwendet die legitime Microsoft-Binärdatei MSHTAund zeigt polymorphes Verhalten, indem es Identitätsstrings im Code abändert, Codepositionen verschiebt und einzigartig generierte C2-URLs anwendet.
Um die Risiken einer TODDLERSHARK-Infektion zu beheben, wird den Verteidigern dringend empfohlen, ihre ScreenConnect-Software auf die Version 23.9.8 oder später zu aktualisieren, in der die gemeldeten Schwachstellen behoben wurden. Angesichts der steigenden Risiken von Cyberangriffen, die bekannte Schwachstellen ausnutzen und des exponentiellen Anstiegs von APT-Kampagnen, die neue Malware-Varianten einsetzen, ist die Implementierung einer proaktiven Bedrohungserkennungsstrategie unerlässlich. Mit
With the increasing risks of cyber attacks weaponizing known vulnerabilities accompanied by the exponential rise in multiple APT campaigns leveraging new malware variants, implementing a proactive threat detection strategy is imperative. Leveraging Attack Detectivewird das Auffinden von APT-Angriffen und das rechtzeitige Identifizieren von CVEs schneller, einfacher und effizienter. Verlassen Sie sich auf ein System, das umfassende Sichtbarkeit Ihrer Angriffsfläche gewährleistet und verhaltensbasierte Erkennungsalgorithmen oder IOCs liefert, die auf Ihre Sicherheitslösung abgestimmt sind, ohne Ihre Daten zu bewegen, und durch ATT&CK als zentrales Korrelationsalgorithmus gestützt.