O grupo de hackers norte-coreanos APT Kimsuky está explorando as falhas do ScreenConnect, em particular CVE-2024-1708 e CVE-2024-1709, para infectar alvos com uma nova variante de malware chamada ToddleShark.
Kimsuky (também conhecido como Thallium e Velvet Chollima) é um grupo de hackers patrocinado pelo estado norte-coreano conhecido por ataques de espionagem cibernética em organizações e governos ao redor do mundo.
Os atores da ameaça estão explorando falhas de execução de código remoto e bypass de autenticação divulgadas em 20 de fevereiro de 2024, quando a ConnectWise pediu aos clientes do ScreenConnect para atualizarem imediatamente seus servidores para a versão 23.9.8 ou posterior.
Os exploits públicos para as duas falhas foram disponibilizados no dia seguinte, e os hackers, incluindo os atores de ransomware, rapidamente começaram a utilizá-los em ataques reais.
De acordo com um relatório futuro da equipe de ciber-inteligência do Kroll compartilhado com o BleepingComputer, o novo malware Kimsuky, que exibe características polimórficas, parece ter sido projetado para espionagem e coleta de informações a longo prazo.
ToddleShark usa binários legítimos da Microsoft para minimizar sua busca, faz modificações de registro para diminuir as defesas de segurança e estabelece acesso persistente por meio de tarefas programadas, seguido de uma fase de roubo e exfiltração contínuos de dados.
Os analistas da Kroll estimam que ToddleShark é uma nova variante dos backdoors BabyShark e ReconShark de Kimsuky, anteriormente vistos visando organizações governamentais, centros de pesquisa, universidades e think tanks nos Estados Unidos, Europa e Ásia.
Os hackers ganham primeiro acesso inicial a pontos de acesso vulneráveis do ScreenConnect explorando as vulnerabilidades, que lhes dão capacidades de execução de código e bypass de autenticação.
Após estabelecida uma presença, Kimsuky usa binários legítimos da Microsoft, como mshta.exe, para executar scripts maliciosos como um VBS fortemente ofuscado, misturando suas atividades com processos normais do sistema.
Em seguida, o malware modifica as chaves de VBAWarnings no Registro do Windows para permitir a execução de macros em várias versões do Word e Excel da Microsoft sem gerar notificações.
Tarefas programadas são criadas para estabelecer persistência executando periodicamente (a cada minuto) o código malicioso.
ToddleShark rotineiramente coleta informações do sistema de dispositivos infectados, incluindo o seguinte:
Nome do host
Detalhes da configuração do sistema
Contas de usuário
Sessões de usuário ativas
Configurações de rede
Software de segurança instalado
Todas as conexões de rede atuais
Enumeração de processos em execução
Lista de software instalado analisando caminhos de instalação comuns e Menu Iniciar do Windows
Finalmente, ToddleShark codifica as informações coletadas em certificados PE (Privacy Enhanced Mail), exfiltrados para a infraestrutura de comando e controle (C2) do invasor, uma tática avançada e conhecida de Kimsuky.
Uma habilidade notável do novo malware é o polimorfismo, que permite que ele evite detecção em muitos casos e torne a análise mais desafiadora.
ToddleShark alcança isso através de várias técnicas.
Primeiramente, ele usa funções geradas aleatoriamente e nomes de variáveis no VBScript fortemente ofuscado usado na etapa inicial de infecção, tornando a detecção estática mais difícil.
Grandes quantidades de código hexadecimal codificado intercalado com código junk podem fazer com que a payload do malware pareça benigna ou não executável.
Adicionalmente, ToddleShark usa strings aleatórias e posicionamento de código [funcional], o que altera seu padrão estrutural o suficiente para tornar a detecção baseada em assinatura ineficaz contra ele.
Finalmente, as URLs usadas para baixar etapas adicionais são geradas dinamicamente, e o hash da payload recuperada do C2 é sempre único, então métodos padrão de bloqueio são tornados ineficazes.
Detalhes específicos e indicadores de comprometimento relacionados ao ToddleShark serão compartilhados pelo Kroll via post de blog em seu site amanhã.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...