06.03.2024 | ToddleShark: новый инструмент скрытного кибершпионажа КНДР |
Специалисты компании Kroll рассказали изданию BleepingComputer, что северокорейская хакерская группа Kimsuky эксплуатирует уязвимости ScreenConnect для распространения нового варианта вредоносного ПО ToddleShark. В ходе атак используются следующие недостатки:
Данные уязвимости были обнародованы 20 февраля, а уже на следующий день в сети появились публичные эксплойты, что привело к масштабному использованию ошибок в кибератаках, в том числе с участием программ-вымогателей. По данным компании Kroll, вредоносное ПО ToddleShark обладает полиморфными характеристиками и предназначено для длительной разведки и сбора информации. ToddleShark использует легитимные бинарные файлы Microsoft для минимизации своих следов, модифицирует реестр для снижения защиты и создает постоянный доступ к зараженным системам через запланированные задачи, после чего начинается фаза беспрерывной кражи и эксфильтрации данных. Аналитики Kroll считают, что ToddleShark является новым вариантом ранее известных вредоносных программ Kimsuky – BabyShark и ReconShark, которые ранее использовались в атаках на правительственные организации, исследовательские центры, университеты и аналитические центры в США, Европе и Азии. Вирус собирает информацию с зараженных устройств, включая:
Затем ToddleShark кодирует собранную информацию в сертификаты PEM и передает ее на серверы управления и контроля злоумышленников (Command and Control, C2 ). Одной из ключевых особенностей ToddleShark является его полиморфизм, позволяющий избежать обнаружения благодаря использованию случайно генерируемых функций и имен переменных, а также динамически изменяемых URL-адресов для загрузки дополнительных стадий вредоносного ПО. Ожидается, что компания Kroll поделится деталями и индикаторами компрометации (Indicator of Compromise, IoC) ToddleShark на своем сайте в ближайшие дни. |
|
Проверить безопасность сайта
