TODDLERSHARK 악성코드 탐지: 해커들이 CVE-2024-1708 및 CVE-2024-1709 취약점을 무기로 삼아 새로운 BABYSHARK 변종 배포

TODDLERSHARK라는 새로운 악성코드 변종이 사이버 위협 분야에서 주목받고 있으며, 이는 BABYSHARK 또는 ReconShark 악성 코드와 놀라운 유사성을 보이며, 북한의 APT 그룹으로 알려진 Kimsuky APT에 의해 사용되었습니다. 감염 체인은 대규모로 활용된 CVE-2024-1708 및 CVE-2024-1709로 추적된 두 개의 중요한 ConnectWise ScreenConnect 취약점을 무기화함으로써 시작됩니다.

TODDLERSHARK 악성코드 변종 탐지

약 54억 건의 악성코드 공격이 2022년에 감지되었습니다. 그 수와 정교함이 지속적으로 증가함에 따라, 보안 전문가들은 위협 탐지 및 수색 효율성을 높이기 위한 고급 솔루션을 찾고 있습니다. SOC Prine 플랫폼은 조직의 사이버 방어를 차원 높게 끌어올리기 위해 세계 최대의 행위 기반 탐지 알고리즘 피드를 첨단 도구와 결합하여 집단 사이버 방어를 위한 집계 기능을 제공합니다.

Kimsuky APT에 의해 활용된 새로운 TODDLERSHARK 변종에 연결된 잠재적인 악성 활동을 식별하기 위해, 사이버 방어 담당자는 SOC Prime에서 제공하는 확장된 탐지 스택을 의지할 수 있습니다. 아래의 탐지 탐색 버튼을 클릭하여 28개의 SIEM, EDR, XDR 및 데이터 레이크 솔루션과 호환되며 MITRE ATT&CK v14.1에 매핑된 관련 탐지 알고리즘을 세부적으로 살펴보세요. 모든 규칙에는 CTI 참조, 공격 타임라인, 분류 추천 등과 같은 자세한 메타데이터가 함께 제공됩니다.

탐지 탐색

위협 조사를 간소화하고 추가 컨텍스트를 얻기 위해, 보안 전문가들은 “Kimsuky”, “CVE-2024-1708”, “CVE-2024-1709”, 그리고 “BABYSHARK” 태그를 사용하여 SOC Prime에서 더 관련성 있는 규칙을 검색할 수 있습니다.

TODDLERSHARK 악성코드 분석: 새로운 BABYSHARK 변종의 이면

Kroll 연구원들은 최근 북한의 Kimsuky APT 그룹 에 의해 활용된 BABYSHARK와 놀랄 만큼 유사한 새로운 악성코드를 사용하는 적대적 캠페인을 알아차렸습니다. (APT43, STOLEN PENCIL, Thallium, Black Banshee, 또는 Velvet Chollima로도 알려짐)

Kimsuky는 오래전부터 다양한 악성 코드 변종을 실험하여 공격 도구를 강화하는 것이 관찰되었습니다. 2013년부터 이 해킹 집단은 사이버 위협 분야에서 큰 파장을 일으켜왔으며, 주로 한국을 주요 대상으로 삼고 있습니다. 2022년 1월, Kimsuky는 오픈 소스 RAT와 커스텀 Gold Dragon 백도어 를 이용하여 한국의 조직에 침입하고 데이터 탈취를 용이하게 했습니다.

2024년 2월, 북한 해커들은 GoBear 악성코드와 함께 Golang 기반의 정보 탈취자인 Troll Stealer를 이용하여 한국을 대상으로 한 공격을 수행했습니다.

최근 관찰된 캠페인에서, 악성 활동은 CVE-2024-1708 (최대 CVSS 점수 10) 및 CVE-2024-1709 (CVSS 점수 8.4)로 추적된 ConnectWide ScreenConnect 소프트웨어의 신규 패치된 인증 우회 취약점을 악용하여 시작되었습니다. 현재 진행 중인 악성 작전에 Kimsuky와 연관될 가능성이 있는 경우, CVE-2024-1709는 초기 액세스를 위해 활용되며, 중요한 ConnectWide ScreenConnect 결함을 이용하는 해커 목록을 확장합니다. 두 취약점은 2024년 2월 사이버 위협 경로에서 막 등장한 이후 다수의 해킹 그룹에 의해 대규모로 악용되어 왔습니다. 함께 체인되면, CVE-2024-1709와 CVE-2024-1708은 인증 후 RCE를 수행할 수 있게 합니다.

BABYSHARK 악성코드는 2018년 말 HTA 파일을 통해 배포되며 처음 등장했습니다. 실행될 경우, VB 스크립트 악성코드는 시스템 데이터를 수집하여 C2 서버로 전송합니다. 늦은 봄, 또 다른 BabyShark 변종인 ReconShark가 표적형 스피어 피싱 이메일을 통해 퍼지며 나타났습니다. TODDLERSHARK는 코드 유사성과 유사한 행동 패턴으로 인해 이 악성코드의 가장 최근 변종으로 여겨집니다.

악성코드 기능의 주요 초점은 시스템 정보 탈취 컴포넌트에 맞춰져 있습니다. 지속성을 유지하기 위해 예약 작업을 적용하는 것 외에도, 이 악성코드는 손상된 기기로부터 민감한 정보를 탈취할 수 있는 정찰 도구로 작용합니다. 탈취된 정보는 호스트, 사용자, 네트워크 및 보안 소프트웨어 데이터에 관한 세부 정보를 포함하며, 설치된 소프트웨어 및 실행 중인 프로세스에 관한 데이터를 포함합니다. 이 데이터를 수집한 후, 인코딩되어 C2 웹 애플리케이션으로 전송되어 탈취됩니다.

TODDLERSHARK는 정당한 Microsoft 바이너리, MSHTA를 사용하며 코드 내의 식별자 문자열을 변경하고 코드 위치를 이동하며 고유하게 생성된 C2 URL을 적용하여 다형성을 보입니다.

TODDLERSHARK 감염의 위험을 완화하기 위해 방어자들은 강력히 권장됩니다 보고된 취약점이 해결된 23.9.8 버전 또는 그 이후 버전으로 ScreenConnect 소프트웨어를 업그레이드하는 것이 권장됩니다.

알려진 취약점을 무기화하는 사이버 공격의 위험이 증가하고 새로운 악성코드 변종을 활용하는 여러 APT 캠페인이 급증함에 따라, 사전적 위협 탐지 전략을 구현하는 것이 필수적입니다. 이를 위해 Attack Detective을 활용하면 APT 공격을 찾아내고 적시에 CVE를 식별하는 것이 더욱 빠르고 쉬우며 효율적입니다. 데이터 이동 없이 사용 중인 보안 솔루션에 맞춘 행동 기반 탐지 알고리즘이나 IOC를 제공하여 전체 공격 표면을 포괄적으로 가시화하고 중앙 상관 알고리즘으로 작용하는 ATT&CK에 의해 뒷받침되는 시스템을 믿으세요.