Les acteurs nord-coréens ont exploité les failles de sécurité récemment révélées dans ConnectWise ScreenConnect pour déployer un nouveau malware appelé REQUIN POUR TOUT-PETITS.
Selon un rapport partagé par Kroll avec The Hacker News, TODDLERSHARK chevauche les logiciels malveillants Kimsuky connus tels que BabyShark et ReconShark.
« L’auteur de la menace a accédé au poste de travail de la victime en exploitant l’assistant de configuration exposé de l’application ScreenConnect », ont déclaré les chercheurs en sécurité Keith Wojcieszek, George Glass et Dave Truman.
« Ils ont ensuite exploité leur accès désormais « mains sur le clavier » pour utiliser cmd.exe afin d’exécuter mshta.exe avec une URL vers le malware basé sur Visual Basic (VB). «
Les failles ConnectWise en question sont CVE-2024-1708 et CVE-2024-1709, qui ont été révélées le mois dernier et ont depuis été largement exploitées par plusieurs acteurs malveillants pour fournir des mineurs de cryptomonnaie, des ransomwares, des chevaux de Troie d’accès à distance et des logiciels malveillants voleurs.
Kimsuky, également connu sous les noms d’APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anciennement Thallium), KTA082, Nickel Kimball et Velvet Chollima, a progressivement élargi son arsenal de logiciels malveillants pour inclure de nouveaux outils, les plus récents étant GoBear et Troll Stealer.
BébéRequin, découvert pour la première fois fin 2018, est lancé à l’aide d’un fichier d’application HTML (HTA). Une fois lancé, le malware de script VB exfiltre les informations système vers un serveur de commande et de contrôle (C2), maintient la persistance sur le système et attend des instructions supplémentaires de l’opérateur.
Puis, en mai 2023, une variante de BabyShark baptisée ReconShark a été observée envoyée à des personnes spécifiquement ciblées via des e-mails de spear phishing. TODDLERSHARK est considéré comme la dernière évolution du même malware en raison de similitudes de code et de comportement.
Le malware, en plus d’utiliser une tâche planifiée pour la persistance, est conçu pour capturer et exfiltrer des informations sensibles sur les hôtes compromis, agissant ainsi comme un outil de reconnaissance précieux.
TODDLERSHARK « présente des éléments de comportement polymorphe sous la forme de changements de chaînes d’identité dans le code, de changements de position du code via du code indésirable généré et d’utilisation d’URL C2 générées de manière unique, ce qui pourrait rendre ce malware difficile à détecter dans certains environnements », ont déclaré les chercheurs. .
Cette évolution intervient alors que le Service national de renseignement sud-coréen (NIS) accuse son homologue nord-coréen d’avoir prétendument compromis les serveurs de deux fabricants nationaux de semi-conducteurs (et non identifiés) et d’avoir volé des données précieuses.
Les intrusions numériques ont eu lieu en décembre 2023 et février 2024. Les auteurs de la menace auraient ciblé des serveurs exposés à Internet et vulnérables pour obtenir un premier accès, puis mis à profit les techniques de vie hors du territoire (LotL) plutôt que de lâcher des logiciels malveillants. pour mieux échapper à la détection.
« La Corée du Nord a peut-être commencé à préparer sa propre production de semi-conducteurs en raison des difficultés d’approvisionnement en semi-conducteurs dues aux sanctions contre la Corée du Nord et à l’augmentation de la demande due au développement d’armes telles que les missiles satellites », a déclaré l’NIS. dit.