Noord-Koreaanse bedreigingsactoren hebben de onlangs onthulde beveiligingsfouten in ConnectWise ScreenConnect uitgebuit om een nieuwe malware te implementeren, genaamd PEUTERHAAI.
Volgens een rapport dat Kroll deelt met The Hacker News overlapt TODDLERSHARK met bekende Kimsuky-malware zoals BabyShark en ReconShark.
“De dreigingsactor kreeg toegang tot het werkstation van het slachtoffer door misbruik te maken van de blootgestelde installatiewizard van de ScreenConnect-applicatie”, aldus beveiligingsonderzoekers Keith Wojcieszek, George Glass en Dave Truman.
“Vervolgens gebruikten ze hun nu ‘hands-on-keyboard’-toegang om cmd.exe te gebruiken om mshta.exe uit te voeren met een URL naar de op Visual Basic (VB) gebaseerde malware.”
De ConnectWise-fouten in kwestie zijn CVE-2024-1708 en CVE-2024-1709, die vorige maand aan het licht kwamen en sindsdien zwaar worden uitgebuit door meerdere bedreigingsactoren om cryptocurrency-miners, ransomware, trojans voor externe toegang en stealer-malware te leveren.
Kimsuky, ook bekend als APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (voorheen Thallium), KTA082, Nickel Kimball en Velvet Chollima, heeft zijn malwarearsenaal gestaag uitgebreid met nieuwe tools, waarvan GoBear en Troll Stealer de meest recente zijn.
BabyShark, voor het eerst ontdekt eind 2018, wordt gelanceerd met behulp van een HTML-toepassingsbestand (HTA). Eenmaal gelanceerd, exfiltreert de VB-script-malware systeeminformatie naar een command-and-control (C2)-server, handhaaft de persistentie op het systeem en wacht op verdere instructies van de operator.
Vervolgens werd in mei 2023 waargenomen dat een variant van BabyShark, genaamd ReconShark, via spearphishing-e-mails aan specifiek gerichte individuen werd afgeleverd. TODDLERHARK wordt beschouwd als de nieuwste evolutie van dezelfde malware vanwege overeenkomsten in code en gedrag.
De malware gebruikt niet alleen een geplande taak voor persistentie, maar is ook ontworpen om gevoelige informatie over de besmette hosts vast te leggen en te exfiltreren, waardoor het fungeert als een waardevol verkenningsinstrument.
TODDLERSHARK “vertoont elementen van polymorf gedrag in de vorm van het veranderen van identiteitsreeksen in code, het veranderen van de positie van code via gegenereerde junkcode en het gebruik van uniek gegenereerde C2-URL’s, waardoor deze malware in sommige omgevingen moeilijk te detecteren zou kunnen zijn”, aldus de onderzoekers. .
De ontwikkeling komt op het moment dat de Nationale Inlichtingendienst (NIS) van Zuid-Korea zijn noordelijke tegenhanger ervan beschuldigde de servers van twee binnenlandse (en niet nader genoemde) halfgeleiderfabrikanten in gevaar te hebben gebracht en waardevolle gegevens te hebben gestolen.
De digitale inbraken vonden plaats in december 2023 en februari 2024. De dreigingsactoren zouden zich hebben gericht op aan internet blootgestelde en kwetsbare servers om initiële toegang te verkrijgen, waarbij ze vervolgens gebruik maakten van Living-off-the-land (LotL)-technieken in plaats van malware te laten vallen om detectie beter te omzeilen.
“Noord-Korea is mogelijk begonnen met de voorbereidingen voor zijn eigen productie van halfgeleiders als gevolg van moeilijkheden bij de aanschaf van halfgeleiders als gevolg van sancties tegen Noord-Korea en de toegenomen vraag als gevolg van de ontwikkeling van wapens zoals satellietraketten”, aldus NIS.
