Detección de Malware TODDLERSHARK: Hackers Arman Vulnerabilidades CVE-2024-1708 y CVE-2024-1709 para Desplegar una Nueva Variante de BABYSHARK
Tabla de contenidos:
Una nueva iteración de malware denominada TODDLERSHARK se destaca en el ámbito de amenazas cibernéticas, la cual muestra una notable similitud con las cepas maliciosas BABYSHARK o ReconShark utilizadas por el grupo APT norcoreano conocido como Kimsuky APT. La cadena de infección se activa al aprovechar un par de vulnerabilidades críticas de ConnectWise ScreenConnect identificadas como CVE-2024-1708 y CVE-2024-1709 que han sido explotadas masivamente por adversarios.
Detectar Variantes de Malware TODDLERSHARK
Alrededor de 5,4 mil millones de ataques de malware fueron detectados en 2022. Con su número y sofisticación en continua escalada, los profesionales de seguridad están buscando soluciones avanzadas para mejorar la detección y eficiencia en la investigación de amenazas. La plataforma SOC Prime para defensa cibernética colectiva agrega la mayor fuente mundial de algoritmos de detección basados en comportamiento, junto con herramientas de vanguardia para llevar la defensa cibernética de la organización al siguiente nivel.
Para identificar posibles actividades maliciosas vinculadas a la nueva cepa TODDLERSHARK utilizada por el Kimsuky APT, los defensores cibernéticos pueden confiar en el amplio conjunto de detección proporcionado por SOC Prime. Simplemente presione el botón Explorar Detecciones a continuación y profundice en los algoritmos de detección relevantes compatibles con 28 soluciones SIEM, EDR, XDR y Data Lake y mapeados a MITRE ATT&CK v14.1. Todas las reglas están acompañadas de metadatos detallados, incluyendo referencias CTI, cronogramas de ataque, recomendaciones de triaje y más.
Para simplificar la investigación de amenazas y obtener contexto adicional, los expertos en seguridad pueden buscar en SOC Prime más reglas relevantes utilizando etiquetas como “Kimsuky”, “CVE-2024-1708,” “CVE-2024-1709,” y “BABYSHARK”.
Análisis del Malware TODDLERSHARK: Lo Que Hay Detrás de una Nueva Iteración de BABYSHARK
Los investigadores de Kroll recientemente notaron una campaña adversaria empleando un nuevo malware que tiene una notable semejanza con BABYSHARK, conocido por haber sido utilizado por el nefasto grupo APT norcoreano Kimsuky APT (también conocido como APT43, STOLEN PENCIL, Thallium, Black Banshee o Velvet Chollima).
Kimsuky ha sido observado durante mucho tiempo experimentando con diversas cepas maliciosas para enriquecer su arsenal ofensivo. Desde 2013, el colectivo de hackers ha causado revuelo en el ámbito de amenazas cibernéticas siendo Corea del Sur su objetivo principal. En enero de 2022, Kimsuky empleó RATs de código abierto y un backdoor personalizado Gold Dragon para infiltrarse en organizaciones surcoreanas y facilitar la exfiltración de datos.
En febrero de 2024, los hackers norcoreanos utilizaron un nuevo ladrón de información basado en Golang conocido como Troll Stealer, junto con variantes de malware GoBear en ataques dirigidos contra Corea del Sur.
En la campaña recientemente observada, la actividad maliciosa comenzó abusando de nuevas fallas de omisión de autenticación en el software ConnectWide ScreenConnect, identificadas como CVE-2024-1708 (con el puntaje CVSS más alto posible de 10) y CVE-2024-1709 (con un puntaje CVSS de 8.4). En la operación maliciosa en curso, potencialmente vinculada a Kimsuky, se aprovecha CVE-2024-1709 para obtener acceso inicial, ampliando la lista de hackers que se aprovechan de las fallas críticas de ConnectWide ScreenConnect. Ambas vulnerabilidades han sido objeto de explotación a gran escala por múltiples grupos de hackers desde su aparición en el panorama de amenazas cibernéticas en febrero de 2024. Cuando se encadenan juntas, CVE-2024-1709 y CVE-2024-1708 permiten a los adversarios realizar RCE después de la autenticación.
El malware BABYSHARK apareció por primera vez a finales de 2018 desplegado a través de un archivo HTA. Al ejecutarse, el malware en script VB recopila datos del sistema y los envía a un servidor C2. A finales de primavera, surgió otra iteración de BabyShark denominada ReconShark, propagada mediante correos electrónicos spear-phishing dirigidos. Se considera que TODDLERSHARK es la iteración más reciente de este malware debido a la semejanza en el código y los patrones de comportamiento similares.
El enfoque principal de las capacidades del malware se centra en el componente de robo de información del sistema. Aparte de aplicar una tarea programada para mantener la persistencia, el malware actúa como una herramienta de reconocimiento capaz de exfiltrar información sensible de dispositivos comprometidos. La información robada incluye detalles sobre el host, usuario, red y datos de software de seguridad, junto con información sobre software instalado y procesos en ejecución. Después de recopilar estos datos, se codifican y se envían a la aplicación web C2 para la exfiltración.
TODDLERSHARK utiliza el binario legítimo de Microsoft, MSHTA, y muestra un comportamiento polimórfico al alterar cadenas de identidad dentro del código, cambiar las posiciones del código y aplicar URLs de C2 generadas de manera única.
Para remediar los riesgos de infección por TODDLERSHARK, se recomienda encarecidamente a los defensores actualizar su software ScreenConnect a la versión 23.9.8 o posterior donde se han abordado las vulnerabilidades reportadas.
Con el aumento de los riesgos de ataques cibernéticos que aprovechan vulnerabilidades conocidas acompañados por el incremento exponencial de múltiples campañas APT que utilizan nuevas variantes de malware, implementar una estrategia proactiva de detección de amenazas es imperativo. Aprovechando Attack Detective, encontrar ataques APT e identificar CVEs de manera oportuna es cada vez más rápido, fácil y eficiente. Confíe en el sistema que asegura una visibilidad integral de su superficie de ataque y ofrece algoritmos de detección basados en comportamiento o IOCs adaptados a su solución de seguridad en uso sin mover sus datos, respaldado por ATT&CK actuando como un algoritmo central de correlación.