Detecção de Malware TODDLERSHARK: Hackers Adotam Vulnerabilidades CVE-2024-1708 e CVE-2024-1709 para Implantar uma Nova Variante BABYSHARK
Índice:
Uma nova iteração de malware apelidada de TODDLERSHARK surge em destaque na arena de ameaças cibernéticas, que tem uma semelhança impressionante com as variantes maliciosas BABYSHARK ou ReconShark, utilizadas pelo grupo APT norte-coreano conhecido como Kimsuky APT. A cadeia de infecção é desencadeada pela exploração de um par de vulnerabilidades críticas do ConnectWise ScreenConnect, rastreadas como CVE-2024-1708 e CVE-2024-1709, que têm sido massivamente exploradas por adversários.2
Detectar Variantes do Malware TODDLERSHARK
Cerca de 5,4 bilhões de ataques de malware foram detectados em 2022. Com o número e a sofisticação continuamente escalando, os profissionais de segurança estão buscando soluções avançadas para aumentar a eficiência na detecção e investigação de ameaças. A Plataforma SOC Prine para defesa cibernética coletiva agrega o maior feed mundial de algoritmos de detecção baseados em comportamento, juntamente com ferramentas de ponta para elevar a defesa cibernética da organização para o próximo nível.
Para identificar possíveis atividades maliciosas ligadas à nova cepa TODDLERSHARK utilizada pelo Kimsuky APT, os defensores cibernéticos podem confiar na ampla pilha de detecção fornecida pelo SOC Prime. Basta clicar no Explorar Detecções botão abaixo e explorar os algoritmos de detecção relevantes compatíveis com 28 soluções SIEM, EDR, XDR e Data Lake e mapeados para MITRE ATT&CK v14.1. Todas as regras são acompanhadas por metadados detalhados, incluindo referências CTI, cronogramas de ataque, recomendações de triagem e mais.
Para simplificar a investigação de ameaças e obter contexto adicional, especialistas em segurança podem pesquisar no SOC Prime por regras mais relevantes usando as tags “Kimsuky”, “CVE-2024-1708”, “CVE-2024-1709” e “BABYSHARK”.
Análise do Malware TODDLERSHARK: O Que Está por Trás de Uma Nova Iteração do BABYSHARK
Os pesquisadores da Kroll recentemente notaram uma campanha de adversários empregando um novo malware que tem uma semelhança impressionante com o BABYSHARK, que é conhecido por ter sido utilizado pelo infame grupo norte-coreano grupo Kimsuky APT (também conhecido como APT43, STOLEN PENCIL, Thallium, Black Banshee ou Velvet Chollima).
O Kimsuky tem sido há muito observado experimentando diversas cepas maliciosas para enriquecer seu kit de ferramentas ofensivas. Desde 2013, o coletivo de hackers tem causado alvoroço na arena de ameaças cibernéticas, tendo a Coreia do Sul como seu alvo principal. Em janeiro de 2022, o Kimsuky empregou RATs de código aberto e um backdoor customizado Gold Dragon para infiltrar organizações sul-coreanas e facilitar a exfiltração de dados.
Em fevereiro de 2024, os hackers norte-coreanos usaram um novo ladrão de informações baseado em Golang conhecido como Troll Stealer, juntamente com variantes de malware GoBear em ataques direcionados contra a Coreia do Sul.
Na campanha recentemente observada, a atividade maliciosa começou ao abusar de falhas de bypass de autenticação recentemente corrigidas no software ConnectWide ScreenConnect rastreadas como CVE-2024-1708 (com a pontuação CVSS mais alta possível chegando a 10) e CVE-2024-1709 (com a pontuação CVSS de 8.4). Na operação maliciosa em andamento potencialmente ligada ao Kimsuky, o CVE-2024-1709 é usado para acesso inicial, expandindo a lista de hackers que aproveitam as falhas críticas do ConnectWide ScreenConnect. Ambas as vulnerabilidades têm sido amplamente exploradas por vários grupos de hackers desde sua emergência no cenário de ameaças cibernéticas em fevereiro de 2024. Quando encadeadas juntas, CVE-2024-1709 e CVE-2024-1708 permitem que adversários realizem RCE após a autenticação.
O malware BABYSHARK apareceu no final de 2018, sendo implantado por meio de um arquivo HTA. Ao ser executado, o malware de script VB coleta dados do sistema e os envia para um servidor C2. Na primavera tardia, outra iteração do BabyShark chamada ReconShark surgiu, espalhando-se via e-mails spear-phishing direcionados. O TODDLERSHARK é considerado a iteração mais recente deste malware devido à semelhança do código e aos padrões de comportamento similares.
O foco principal das capacidades do malware é o componente de roubo de informações do sistema. Além de aplicar uma tarefa agendada para manter a persistência, o malware atua como uma ferramenta de reconhecimento capaz de exfiltrar informações sensíveis de dispositivos comprometidos. As informações roubadas envolvem detalhes sobre o host, usuário, rede e dados de software de segurança, além de dados sobre software instalado e processos em execução. Após a coleta desses dados, eles são codificados e enviados para a aplicação web C2 para exfiltração.
O TODDLERSHARK emprega o binário legítimo da Microsoft, MSHTA, e exibe comportamento polimórfico alterando strings de identidade dentro do código, mudando posições do código e aplicando URLs C2 gerados de forma única.
Para remediar os riscos de infecção do TODDLERSHARK, recomenda-se fortemente que os defensores atualizem seu software ScreenConnect para a versão 23.9.8 ou posterior, onde as vulnerabilidades relatadas foram resolvidas.
Com os crescentes riscos de ataques cibernéticos explorando vulnerabilidades conhecidas acompanhados pelo aumento exponencial em diversas campanhas APT que utilizam novas variantes de malware, implementar uma estratégia proativa de detecção de ameaças é imperativo. Aproveitando o Attack Detective, encontrar ataques APT e identificar CVEs em tempo hábil está se tornando mais rápido, fácil e eficiente. Confie no sistema que garante visibilidade abrangente de sua superfície de ataque e fornece algoritmos de detecção baseados em comportamento ou IOCs adaptados à sua solução de segurança em uso, sem mover seus dados, com o suporte do ATT&CK atuando como um algoritmo central de correlação.