Rilevamento Malware TODDLERSHARK: Gli Hacker Sfruttano le Vulnerabilità CVE-2024-1708 e CVE-2024-1709 per Distribuire una Nuova Variante di BABYSHARK

[post-views]
Marzo 07, 2024 · 5 min di lettura
Rilevamento Malware TODDLERSHARK: Gli Hacker Sfruttano le Vulnerabilità CVE-2024-1708 e CVE-2024-1709 per Distribuire una Nuova Variante di BABYSHARK

Una nuova iterazione di malware soprannominata TODDLERSHARK diventa protagonista nell’arena delle minacce informatiche, e presenta una notevole somiglianza con i ceppi maligni BABYSHARK o ReconShark sfruttati dal gruppo APT nordcoreano noto come Kimsuky APT. La catena di infezione viene innescata dalla strumentalizzazione di un paio di vulnerabilità critiche di ConnectWise ScreenConnect tracciate come CVE-2024-1708 e CVE-2024-1709 che sono state massicciamente sfruttate dagli avversari.

Rileva le varianti di malware TODDLERSHARK

Circa 5,4 miliardi di attacchi malware sono stati individuati nel 2022. Con il loro numero e sofisticazione in continua escalation, i professionisti della sicurezza stanno cercando soluzioni avanzate per aumentare l’efficienza del rilevamento e della caccia alle minacce. La piattaforma SOC Prine per la difesa collettiva cibernetica aggrega il più grande feed mondiale di algoritmi di rilevamento basati sul comportamento abbinati a strumenti all’avanguardia per portare la difesa cibernetica dell’organizzazione al livello successivo.

Per identificare possibili attività malevoli legate al nuovo ceppo TODDLERSHARK sfruttato da Kimsuky APT, i difensori cibernetici possono fare affidamento sull’ampia gamma di rilevamento fornita da SOC Prime. Basta premere il Pulsante Esplora rilevamenti qui sotto e approfondire gli algoritmi di rilevamento pertinenti compatibili con 28 soluzioni SIEM, EDR, XDR e Data Lake e mappati a MITRE ATT&CK v14.1. Tutte le regole sono accompagnate da metadati dettagliati, inclusi riferimenti CTI, cronologia degli attacchi, raccomandazioni per il triage e altro ancora.

Pulsante Esplora rilevamenti

Per semplificare l’indagine sulle minacce e ottenere un contesto aggiuntivo, gli esperti di sicurezza potrebbero cercare su SOC Prime regole più pertinenti usando i tag “Kimsuky”, “CVE-2024-1708,” “CVE-2024-1709,” e “BABYSHARK”.

Analisi del malware TODDLERSHARK: cosa c’è dietro a una nuova iterazione di BABYSHARK

I ricercatori di Kroll hanno recentemente notato una campagna avversaria che impiega un nuovo malware che presenta una notevole somiglianza con BABYSHARK, noto per essere stato sfruttato dal nefando gruppo nordcoreano Kimsuky APT (alias APT43, STOLEN PENCIL, Thallium, Black Banshee o Velvet Chollima).

Si è a lungo osservato che Kimsuky sperimentava vari ceppi maligni per arricchire il suo toolkit offensivo. Dal 2013, il collettivo di hacker ha causato scalpore nell’arena delle minacce informatiche con la Corea del Sud come principale obiettivo. A gennaio 2022, Kimsuky ha impiegato RAT open-source e una backdoor personalizzata Gold Dragon per infiltrarsi nelle organizzazioni sudcoreane e facilitare l’esfiltrazione di dati.

A febbraio 2024, gli hacker nordcoreani hanno sfruttato un nuovo ladro di informazioni basato su Golang noto come Troll Stealer, insieme a varianti di malware GoBear in attacchi mirati contro la Corea del Sud.

Nella campagna recentemente osservata, l’attività malevola è iniziata abusando di nuove falle di bypass dell’autenticazione corrette nel software ConnectWide ScreenConnect tracciate come CVE-2024-1708 (con il massimo punteggio CVSS possibile di 10) e CVE-2024-1709 (con punteggio CVSS di 8.4). Nell’operazione malevola in corso, potenzialmente collegata a Kimsuky, la CVE-2024-1709 è sfruttata per l’accesso iniziale, ampliando la lista di hacker che sfruttano le critiche falle di ConnectWide ScreenConnect. Entrambe le vulnerabilità sono state sfruttate su larga scala da più gruppi di hacking dalla loro comparsa nel panorama delle minacce cibernetiche a febbraio 2024. Quando concatenate insieme, CVE-2024-1709 e CVE-2024-1708 consentono agli avversari di eseguire RCE dopo l’autenticazione.

Il malware BABYSHARK è apparso per la prima volta sul panorama alla fine del 2018, distribuito tramite un file HTA. All’esecuzione, il malware in script VB raccoglie i dati di sistema e li invia a un server C2. Alla fine della primavera, un’altra iterazione di BabyShark chiamata ReconShark è emersa, diffusa tramite email di spear-phishing mirate. TODDLERSHARK è considerata l’iterazione più recente di questo malware a causa della somiglianza del codice e dei modelli di comportamento simili.

Il focus principale delle capacità del malware è centrato sulla componente di furto di informazioni di sistema. Oltre ad applicare un’attività pianificata per mantenere la persistenza, il malware agisce come strumento di ricognizione capace di esfiltrare informazioni sensibili dai dispositivi compromessi. Le informazioni rubate includono dettagli sull’host, l’utente, la rete e i dati del software di sicurezza, insieme ai dati sui software installati e ai processi in esecuzione. Dopo aver raccolto questi dati, viene codificato e inviato alla web application C2 per l’esfiltrazione.

TODDLERSHARK utilizza il legittimo binario di Microsoft, MSHTA, e mostra un comportamento polimorfico alterando le stringhe di identità all’interno del codice, spostando le posizioni del codice e applicando URL C2 generati unicamente.

Per mitigare i rischi di infezione da TODDLERSHARK, ai difensori è fortemente raccomandato di aggiornare il software ScreenConnect alla versione 23.9.8 o successiva, dove le vulnerabilità segnalate sono state risolte.

Con l’aumento dei rischi di attacchi informatici che armare le vulnerabilità note accompagnato dalla crescita esponenziale di più campagne APT che sfruttano nuove varianti di malware, implementare una strategia proattiva di rilevamento delle minacce è imperativo. Sfruttando Attack Detective, trovare attacchi APT e identificare tempestivamente le CVE sta diventando più veloce, più facile e più efficiente. Affidati al sistema che garantisce una visibilità completa della tua superficie d’attacco e fornisce algoritmi di rilevamento basati sul comportamento o IOC adattati alla tua soluzione di sicurezza in uso senza spostare i tuoi dati, supportato da ATT&CK che funge da algoritmo di correlazione centrale.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati