Северокорейцы взламывают сервера ScreenConnect с помощью маленькой вредоносной акулы

[Artifact]

Северокорейские хакеры использовали недавно обнаруженные уязвимости в ConnectWise ScreenConnect для развертывания нового вредоносного ПО под названием TODDLERSHARK.
По данным отчета компании Kroll, TODDLERSHARK имеет схожие черты с известными вредоносами Kimsuky, такими как BabyShark и ReconShark.
«Злоумышленники получили доступ к рабочим станциям жертв, эксплуатируя уязвимость в мастере настройки приложения ScreenConnect», — сообщают исследователи информационной безопасности Кит Войцешек, Джордж Гласс и Дэйв Труман. «Затем они использовали полученный доступ для выполнения mshta.exe с URL-адресом вредоносного ПО, написанного на Visual Basic».
Речь идет об уязвимостях ConnectWise CVE-2024-1708 и CVE-2024-1709, о которых стало известно в конце февраля . С тех пор они активно эксплуатируются различными группировками для доставки майнеров криптовалют, программ-вымогателей, ПО удаленного доступа и инфостилеров.
Группировка Kimsuky, также известная как APT43, постоянно расширяет свой арсенал вредоносов, последними из которых стали GoBear и Troll Stealer. BabyShark, обнаруженный в конце 2018 года, запускается с помощью HTML-приложения. Проникнув в систему, он похищает системную информацию, сохраняет присутствие и ждет дальнейших указаний указаний оператора.
В мае 2023 года был замечен вариант BabyShark под названием ReconShark, распространявшийся через фишинговые письма. TODDLERSHARK считается новейшей эволюцией этого вредоноса из-за сходства кода и тактики.
В основном этот софт предназначен для кражи конфиденциальных данных со скомпрометированных систем, действуя как инструмент кибершпионажа.
Разработчики предупреждают, что TODDLERSHARK «проявляет элементы полиморфного поведения, что может затруднить его обнаружение в некоторых средах».
Тем временем Национальная разведывательная служба Южной Кореи обвинила КНДР в компрометации серверов двух отечественных производителей полупроводников и краже ценных данных в декабре 2023 и феврале 2024 года. Предполагается , что Северная Корея может готовиться к собственному производству полупроводников из-за трудностей с закупками, вызванных санкциями, и растущим спросом на них для разработки вооружений.