TODDLERSHARKマルウェア検出：ハッカーがCVE-2024-1708およびCVE-2024-1709の脆弱性を武器化し、新しいBABYSHARK変種を展開

TODDLERSHARKと呼ばれる新しいマルウェアのバージョンが、BABYSHARKまたはReconSharkと呼ばれる悪質なアプローチと非常に似通った点を持ち、北朝鮮のAPTグループである Kimsuky APTによって活用され、サイバー脅威の舞台で注目を集めています。この感染チェーンは、敵対者によって大量に利用されているCVE-2024-1708とCVE-2024-1709として追跡されたConnectWise ScreenConnectのクリティカルな脆弱性を武器にすることで開始されます。2

TODDLERSHARKマルウェアのバリアントを検出する

約 5,4億のマルウェア攻撃 が2022年に観測されました。その数と洗練さが継続的に上昇する中で、セキュリティ専門家は脅威検出と狩猟の効率を高めるための高度なソリューションを求めています。SOC Prine Platform for collective cyber defenseは、行動に基づく検出アルゴリズムの世界最大のフィードを集約し、最先端のツールと組み合わせて、組織のサイバー防御を次のレベルに引き上げます。

Kimsuky APTによって活用されている新しいTODDLERSHARKのバリアントに関連する可能性のある悪質な活動を特定するために、サイバー防御側はSOC Primeが提供する広範な検出スタックに頼ることができます。以下の 探索機能 ボタンを押して、28のSIEM、EDR、XDR、データレイクソリューションに対応し、 MITRE ATT＆CK v14.1にマッピングされた関連する検出アルゴリズムに詳しく掘り下げてください。すべてのルールには、CTI参照、攻撃タイムライン、トリアージ推奨事項など、詳細なメタデータが付随しています。

探索機能

脅威の調査を簡素化し、追加のコンテキストを得るために、セキュリティ専門家は“Kimsuky”、 “CVE-2024-1708”、 “CVE-2024-1709”、および“BABYSHARK” のタグを使って、より関連性の高いルールをSOC Primeで検索するかもしれません。

TODDLERSHARKマルウェア分析: 新たなBABYSHARKバージョンの裏にあるものとは

Krollの研究者たちは 最近、BABYSHARKに非常に似た新たなマルウェアを活用した敵対者キャンペーンを観測しました。これは悪名高い北朝鮮の employing a novel malware that bears striking resemblance to BABYSHARK, which is known to have been leveraged by the nefarious North Korean Kimsuky APTグループ （別名APT43、STOLEN PENCIL、Thallium、Black Banshee、またはVelvet Chollima）によって活用されていることが知られています。

Kimsukyは、その攻撃ツールキットを強化するために多様な悪質なバージョンを実験していることが長らく観測されています。2013年以来、このハッキング集団はサイバー脅威の舞台で騒ぎを巻き起こしており、韓国が主要な標的とされています。2022年1月、Kimsukyは、オープンソースのRATやカスタムの ゴールドドラゴンバックドア を用いて韓国の組織に侵入し、データ抽出を促進しました。

2024年2月、北朝鮮のハッカーは、GoBearマルウェアのバリアントとともにゴーラングベースの新しい情報を盗む手口である トロールスティーラーを活用し、韓国をターゲットにした攻撃を行いました。

最近観測されたキャンペーンでは、悪質な活動はCVE-2024-1708（CVSSスコアが最高10に達する）およびCVE-2024-1709（CVSSスコア8.4として追跡）のConnectWise ScreenConnectソフトウェアでの新しくパッチが適用された認証バイパスの脆弱性を悪用することから始まりました。現在の、潜在的にKimsukyに関連する悪質な操作では、初期アクセスにCVE-2024-1709が利用され、ConnectWise ScreenConnectの重大な脆弱性を悪用するハッカーのリストが拡大しています。これらの脆弱性は、2024年2月にサイバー脅威ダブレットに現れて以来、複数のハッキンググループによって大規模な悪用が行われています。CVE-2024-1709とCVE-2024-1708を連鎖させることで、敵対者は認証後にRCEを実行することができます。

BABYSHARKマルウェアは、2018年後半にHTAファイルを通じて展開され、シーンに登場しました。実行されると、VBスクリプトマルウェアがシステムデータを収集し、C2サーバーに送信します。春の終わりには、さらに新しいBabySharkバージョンであるReconSharkが登場し、標的フィッシングメールを通じて拡散されました。TODDLERSHARKは、コードの類似性と類似の行動パターンのため、このマルウェアの最新のバージョンであると考えられています。

マルウェアの機能の主な焦点は、システム情報を盗むコンポーネントにあります。持続性を維持するためにスケジュールされたタスクを適用することに加えて、このマルウェアは偵察ツールとして機能し、侵害されたデバイスから機密情報を抽出する能力を持っています。盗まれた情報には、ホスト、ユーザー、ネットワーク、セキュリティソフトウェアデータ、インストールされたソフトウェアおよび実行中のプロセスに関するデータが含まれます。このデータを収集した後、C2ウェブアプリケーションに送信し、侵出が行われます。

TODDLERSHARKは正当な Microsoftバイナリ・MSHTAを使用し、コード内の識別子文字列を変更したり、コードの位置を移動させたり、独自に生成されたC2 URLを適用することによって、多形的な動作を示します。

TODDLERSHARKの感染リスクを軽減するために、防御者は強く推奨されています。 ScreenConnectソフトウェアを23.9.8以上のバージョンにアップグレードする ことで報告された脆弱性に対処されています。

既知の脆弱性を悪用したサイバー攻撃のリスクが増加し、新たなマルウェアバリアントを活用する複数のAPTキャンペーンの急増を伴う中で、積極的な脅威検出戦略を実施することが不可欠です。 Attack Detectiveを活用することで、APT攻撃を発見し、CVEを迅速に特定することがより迅速で容易に、そしてより効率的になっています。あなたの攻撃サーフェスの包括的な可視性を確保し、データを移動することなく、使用しているセキュリティソリューションに合わせて行動に基づく検出アルゴリズムやIOCを提供するシステムに依拠してください。これには、中央の相関アルゴリズムとしてATT＆CKがバックアップされています。