Les acteurs nord-cor\u00e9ens ont exploit\u00e9 les failles de s\u00e9curit\u00e9 r\u00e9cemment r\u00e9v\u00e9l\u00e9es dans ConnectWise ScreenConnect pour d\u00e9ployer un nouveau malware appel\u00e9 REQUIN POUR TOUT-PETITS<\/strong>.<\/p>\n Selon un rapport partag\u00e9 par Kroll avec The Hacker News, TODDLERSHARK chevauche les logiciels malveillants Kimsuky connus tels que BabyShark et ReconShark.<\/p>\n “L’auteur de la menace a acc\u00e9d\u00e9 au poste de travail de la victime en exploitant l’assistant de configuration expos\u00e9 de l’application ScreenConnect”, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Keith Wojcieszek, George Glass et Dave Truman.<\/p>\n “Ils ont ensuite exploit\u00e9 leur acc\u00e8s d\u00e9sormais “mains sur le clavier” pour utiliser cmd.exe afin d’ex\u00e9cuter mshta.exe avec une URL vers le malware bas\u00e9 sur Visual Basic (VB). “<\/p>\n Les failles ConnectWise en question sont CVE-2024-1708 et CVE-2024-1709, qui ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es le mois dernier et ont depuis \u00e9t\u00e9 largement exploit\u00e9es par plusieurs acteurs malveillants pour fournir des mineurs de cryptomonnaie, des ransomwares, des chevaux de Troie d’acc\u00e8s \u00e0 distance et des logiciels malveillants voleurs.<\/p>\n Kimsuky, \u00e9galement connu sous les noms d’APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anciennement Thallium), KTA082, Nickel Kimball et Velvet Chollima, a progressivement \u00e9largi son arsenal de logiciels malveillants pour inclure de nouveaux outils, les plus r\u00e9cents \u00e9tant GoBear et Troll Stealer.<\/p>\n B\u00e9b\u00e9Requin, d\u00e9couvert pour la premi\u00e8re fois<\/a> fin 2018, est lanc\u00e9 \u00e0 l’aide d’un fichier d’application HTML (HTA). Une fois lanc\u00e9, le malware de script VB exfiltre les informations syst\u00e8me vers un serveur de commande et de contr\u00f4le (C2), maintient la persistance sur le syst\u00e8me et attend des instructions suppl\u00e9mentaires de l’op\u00e9rateur.<\/p>\n Puis, en mai 2023, une variante de BabyShark baptis\u00e9e ReconShark a \u00e9t\u00e9 observ\u00e9e envoy\u00e9e \u00e0 des personnes sp\u00e9cifiquement cibl\u00e9es via des e-mails de spear phishing. TODDLERSHARK est consid\u00e9r\u00e9 comme la derni\u00e8re \u00e9volution du m\u00eame malware en raison de similitudes de code et de comportement.<\/p>\n Le malware, en plus d’utiliser une t\u00e2che planifi\u00e9e pour la persistance, est con\u00e7u pour capturer et exfiltrer des informations sensibles sur les h\u00f4tes compromis, agissant ainsi comme un outil de reconnaissance pr\u00e9cieux.<\/p>\n TODDLERSHARK “pr\u00e9sente des \u00e9l\u00e9ments de comportement polymorphe sous la forme de changements de cha\u00eenes d’identit\u00e9 dans le code, de changements de position du code via du code ind\u00e9sirable g\u00e9n\u00e9r\u00e9 et d’utilisation d’URL C2 g\u00e9n\u00e9r\u00e9es de mani\u00e8re unique, ce qui pourrait rendre ce malware difficile \u00e0 d\u00e9tecter dans certains environnements”, ont d\u00e9clar\u00e9 les chercheurs. .<\/p>\n Cette \u00e9volution intervient alors que le Service national de renseignement sud-cor\u00e9en (NIS) accuse son homologue nord-cor\u00e9en d’avoir pr\u00e9tendument compromis les serveurs de deux fabricants nationaux de semi-conducteurs (et non identifi\u00e9s) et d’avoir vol\u00e9 des donn\u00e9es pr\u00e9cieuses.<\/p>\n Les intrusions num\u00e9riques ont eu lieu en d\u00e9cembre 2023 et f\u00e9vrier 2024. Les auteurs de la menace auraient cibl\u00e9 des serveurs expos\u00e9s \u00e0 Internet et vuln\u00e9rables pour obtenir un premier acc\u00e8s, puis mis \u00e0 profit les techniques de vie hors du territoire (LotL) plut\u00f4t que de l\u00e2cher des logiciels malveillants. pour mieux \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n “La Cor\u00e9e du Nord a peut-\u00eatre commenc\u00e9 \u00e0 pr\u00e9parer sa propre production de semi-conducteurs en raison des difficult\u00e9s d’approvisionnement en semi-conducteurs dues aux sanctions contre la Cor\u00e9e du Nord et \u00e0 l’augmentation de la demande due au d\u00e9veloppement d’armes telles que les missiles satellites”, a d\u00e9clar\u00e9 l’NIS. dit<\/a>.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/Les-pirates-exploitent-les-failles-de-ConnectWise-ScreenConnect-pour-deployer.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n