Détection de Maliciel TODDLERSHARK : Les Hackers Arment les Vulnérabilités CVE-2024-1708 et CVE-2024-1709 pour Déployer une Nouvelle Variante de BABYSHARK
Table des matières :
Une nouvelle itération de malware surnommée TODDLERSHARK fait son apparition dans l’arène des cybermenaces, présentant une ressemblance frappante avec les souches malveillantes BABYSHARK ou ReconShark exploitées par le groupe APT nord-coréen connu sous le nom de Kimsuky APT. La chaîne d’infection est déclenchée par l’exploitation d’une paire de vulnérabilités critiques de ConnectWise ScreenConnect suivies sous les codes CVE-2024-1708 et CVE-2024-1709, qui ont été massivement exploitées par les adversaires.
Détecter les variantes de malware TODDLERSHARK
Environ 5,4 milliards d’attaques de malware ont été observées en 2022. Avec leur nombre et leur sophistication en constante augmentation, les professionnels de la sécurité recherchent des solutions avancées pour accroître l’efficacité de la détection et de la chasse des menaces. La plateforme SOC Prine pour la défense cybernétique collective agrège le plus grand flux mondial d’algorithmes de détection basés sur le comportement, couplés à des outils de pointe pour porter la cyberdéfense de l’organisation au niveau supérieur.
Pour identifier une activité malveillante potentielle liée à la nouvelle souche TODDLERSHARK exploitée par Kimsuky APT, les défenseurs cybernétiques peuvent s’appuyer sur l’ensemble étendu de détections fournies par SOC Prime. Appuyez simplement sur le Explorer les détections bouton ci-dessous et plongez dans les algorithmes de détection pertinents compatibles avec 28 solutions SIEM, EDR, XDR et Data Lake, et mappés sur MITRE ATT&CK v14.1. Toutes les règles sont accompagnées de métadonnées détaillées, y compris des références CTI, des chronologies d’attaque, des recommandations de triage et plus encore.
Pour rationaliser l’investigation des menaces et obtenir un contexte supplémentaire, les experts en sécurité peuvent rechercher sur SOC Prime des règles plus pertinentes en utilisant les balises « Kimsuky», « CVE-2024-1708 », « CVE-2024-1709 », et « BABYSHARK ».
Analyse du malware TODDLERSHARK : Ce qu’il y a derrière une nouvelle itération de BABYSHARK
Les chercheurs de Kroll ont récemment remarqué une campagne d’adversaires utilisant un nouveau malware qui ressemble fortement à BABYSHARK, connu pour avoir été utilisé par le néfaste groupe nord-coréen Kimsuky APT (alias APT43, STOLEN PENCIL, Thallium, Black Banshee, ou Velvet Chollima).
Kimsuky a longtemps été observé en train d’expérimenter divers souches malveillantes pour enrichir son arsenal offensif. Depuis 2013, ce collectif de hackers secoue l’arène des menaces cybernétiques avec la Corée du Sud comme cible principale. En janvier 2022, Kimsuky a utilisé des RATs open-source et une porte dérobée personnalisée Gold Dragon pour infiltrer des organisations sud-coréennes et faciliter l’exfiltration de données.
En février 2024, les hackers nord-coréens ont exploité un nouveau voleur d’informations basé sur Golang connu sous le nom de Troll Stealer, ainsi que des variantes de malware GoBear dans des attaques ciblées contre la Corée du Sud.
Dans la campagne récemment observée, l’activité malveillante a commencé par l’abus de nouvelles failles de contournement d’authentification corrigées dans le logiciel ConnectWide ScreenConnect suivies sous les codes CVE-2024-1708 (avec le score CVSS le plus élevé atteignant 10) et CVE-2024-1709 (avec un score CVSS de 8,4). Dans l’opération malveillante en cours potentiellement liée à Kimsuky, CVE-2024-1709 est exploitée pour un accès initial, élargissant la liste des hackers tirant parti des failles critiques de ConnectWide ScreenConnect. Les deux vulnérabilités ont été sous exploitation à grande échelle par plusieurs groupes de hackers depuis leur apparition dans le paysage des menaces cybernétiques en février 2024. Lorsqu’elles sont enchaînées ensemble, CVE-2024-1709 et CVE-2024-1708 permettent aux adversaires d’effectuer une RCE après authentification.
Le malware BABYSHARK a d’abord fait son apparition fin 2018, déployé via un fichier HTA. Une fois exécuté, le malware de script VB collecte des données système et les envoie à un serveur C2. À la fin du printemps, une autre itération de BabyShark surnommée ReconShark a émergé, diffusée via des e-mails de spear-phishing ciblés. TODDLERSHARK est considérée comme l’itération la plus récente de ce malware en raison de la ressemblance du code et des comportements similaires.
Le principal objectif des capacités du malware est centré sur le composant de vol d’informations système. En plus d’appliquer une tâche planifiée pour maintenir la persistance, le malware agit comme un outil de reconnaissance capable d’exfiltrer des informations sensibles à partir d’appareils compromis. Les informations volées incluent des détails sur l’hôte, l’utilisateur, le réseau, et les données du logiciel de sécurité, ainsi que des données sur le logiciel installé et les processus en cours. Après avoir collecté ces données, elles sont encodées et envoyées à l’application web C2 pour exfiltration.
TODDLERSHARK utilise le binaire légitime Microsoft, MSHTA, et affiche un comportement polymorphe en modifiant les chaînes d’identité dans le code, en déplaçant les positions de code, et en appliquant des URL C2 générées de manière unique.
Pour remédier aux risques d’infection par TODDLERSHARK, il est fortement recommandé aux défenseurs de mettre à niveau leur logiciel ScreenConnect vers la version 23.9.8 ou une version ultérieure où les vulnérabilités signalées ont été traitées.
Avec les risques croissants d’attaques cybernétiques exploitant des vulnérabilités connues accompagnés de la hausse exponentielle des campagnes APT utilisant de nouvelles variantes de malware, mettre en œuvre une stratégie de détection proactive des menaces est impératif. En utilisant Attack Detective, trouver des attaques par APT et identifier rapidement les CVE devient plus rapide, plus facile et plus efficace. Comptez sur le système qui assure une visibilité complète de votre surface d’attaque et fournit des algorithmes de détection basés sur le comportement ou des IOC adaptés à votre solution de sécurité, sans déplacer vos données, soutenu par ATT&CK comme algorithme de corrélation central.