Los actores de amenazas norcoreanos han explotado las fallas de seguridad recientemente reveladas en ConnectWise ScreenConnect para implementar un nuevo malware llamado TIBURÓN PEQUEÑO.
Según un informe compartido por Kroll con The Hacker News, TODDLERSHARK se superpone con el conocido malware Kimsuky, como BabyShark y ReconShark.
«El actor de amenazas obtuvo acceso a la estación de trabajo de la víctima explotando el asistente de configuración expuesto de la aplicación ScreenConnect», dijeron los investigadores de seguridad Keith Wojcieszek, George Glass y Dave Truman.
«Luego aprovecharon su acceso ahora ‘manos a la obra’ para usar cmd.exe para ejecutar mshta.exe con una URL al malware basado en Visual Basic (VB)».
Las fallas de ConnectWise en cuestión son CVE-2024-1708 y CVE-2024-1709, que salieron a la luz el mes pasado y desde entonces han sido fuertemente explotadas por múltiples actores de amenazas para entregar mineros de criptomonedas, ransomware, troyanos de acceso remoto y malware ladrón.
Kimsuky, también conocido como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), KTA082, Nickel Kimball y Velvet Chollima, ha ampliado constantemente su arsenal de malware para incluir nuevas herramientas, siendo las más recientes GoBear y Troll Stealer.
tiburón bebé, descubierto por primera vez a finales de 2018, se lanza utilizando un archivo de aplicación HTML (HTA). Una vez iniciado, el malware VB script filtra información del sistema a un servidor de comando y control (C2), mantiene la persistencia en el sistema y espera más instrucciones del operador.
Luego, en mayo de 2023, se observó que una variante de BabyShark denominada ReconShark se entregaba a personas específicas a través de correos electrónicos de phishing. Se considera que TODDLERSHARK es la última evolución del mismo malware debido a similitudes de código y comportamiento.
El malware, además de utilizar una tarea programada para la persistencia, está diseñado para capturar y filtrar información confidencial sobre los hosts comprometidos, actuando así como una valiosa herramienta de reconocimiento.
TODDLERSHARK «exhibe elementos de comportamiento polimórfico en forma de cambios de cadenas de identidad en el código, cambio de la posición del código a través de código basura generado y uso de URL C2 generadas de forma única, lo que podría hacer que este malware sea difícil de detectar en algunos entornos», dijeron los investigadores. .
El desarrollo se produce cuando el Servicio de Inteligencia Nacional (NIS) de Corea del Sur acusó a su homólogo del norte de supuestamente comprometer los servidores de dos fabricantes de semiconductores nacionales (y no identificados) y de robar datos valiosos.
Las intrusiones digitales tuvieron lugar en diciembre de 2023 y febrero de 2024. Se dice que los actores de amenazas se dirigieron a servidores vulnerables y expuestos a Internet para obtener acceso inicial, y posteriormente aprovecharon técnicas de vida de la tierra (LotL) en lugar de lanzar malware para para evadir mejor la detección.
«Es posible que Corea del Norte haya comenzado los preparativos para su propia producción de semiconductores debido a las dificultades para adquirir semiconductores debido a las sanciones contra Corea del Norte y al aumento de la demanda debido al desarrollo de armas como los misiles satelitales», NIS dicho.