Alcuni hacker dalla Corea del Nord hanno sfruttato le recentemente rivelate vulnerabilità di sicurezza in ConnectWise ScreenConnect per distribuire un nuovo malware chiamato TODDLERSHARK.
Secondo un rapporto condiviso da Kroll, TODDLERSHARK presenta sovrapposizioni con noti malware Kimsuky come BabyShark e ReconShark.
Cosa si sa del malware di nome TODDLERSHARK
“Il criminale informatico ha ottenuto accesso alla postazione della vittima sfruttando la configurazione esposta dell’applicazione ScreenConnect,” hanno dichiarato i ricercatori di sicurezza Keith Wojcieszek, George Glass e Dave Truman. “Hanno poi sfruttato il loro accesso ‘hands on keyboard’ per utilizzare cmd.exe per eseguire mshta.exe con un URL al malware basato su Visual Basic (VB).”
Le vulnerabilità di ConnectWise in questione sono CVE-2024-1708 e CVE-2024-1709, emerse il mese scorso e sono state sfruttate pesantemente da vari criminali informatici per consegnare miner di criptovalute, ransomware, trojan di accesso remoto e malware che servono a rubare le informazioni.
Kimsuky, noto anche come APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (precedentemente Thallium), KTA082, Nickel Kimball e Velvet Chollima, ha costantemente ampliato il suo arsenale di malware per includere nuovi strumenti, l’ultimo dei quali è GoBear e Troll Stealer.
BabyShark, scoperto per la prima volta alla fine del 2018, viene avviato utilizzando un file HTML Application (HTA); una volta avviato, il malware scritto in linguaggio VB script trafuga le informazioni di sistema a un server di comando e controllo (C2), mantiene la persistenza nel sistema e attende ulteriori istruzioni dall’operatore.
Poi, nel maggio 2023, è stato osservato che una variante di BabyShark chiamata ReconShark veniva consegnata a individui specificamente mirati attraverso e-mail di spear-phishing; TODDLERSHARK è valutato come l’ultima evoluzione dello stesso malware a causa di similitudini nel codice e nel comportamento.
Il malware, oltre a utilizzare una serie di compiti pianificati per una relativa persistenza, è anche progettato per catturare ed esfiltrare informazioni sensibili sui sistemi compromessi, agendo così come uno strumento di ricognizione prezioso.
TODDLERSHARK “mostra elementi di comportamento polimorfico sotto forma di stringhe di identità variabili nel codice, cambiando la posizione del codice tramite codice spazzatura generato e utilizzando URL C2 univocamente generati, il ché potrebbe rendere difficile rilevare questo malware in alcuni ambienti“, hanno dichiarato i ricercatori.
Lo sviluppo avviene mentre i servizi di intelligence nazionali della Corea del Sud (NIS) accusano la controparte settentrionale di aver presuntamente compromesso i server di due produttori nazionali di semiconduttori (non nominati) e rubato dati preziosi.
Le intrusioni digitali sono avvenute nel dicembre 2023 e nel febbraio 2024; sembrerebbe che i criminali informatici abbiano mirato a server esposti su Internet e vulnerabili per ottenere un accesso iniziale, successivamente sfruttando tecniche di “living-off-the-land” (LotL) piuttosto che depositare malware per evitare una migliore rilevazione.
“La Corea del Nord potrebbe aver iniziato i preparativi per la propria produzione di semiconduttori a causa delle difficoltà nell’acquisizione di semiconduttori a causa delle sanzioni contro la Corea del Nord e dell’aumento della domanda legata allo sviluppo di armi come missili satellitari“, ha dichiarato il NIS.
Casi simili a TODDLERSHARK e alcune considerazioni
Casi simili di minacce informatiche con exploit di vulnerabilità in software di connessione remota sono emersi in diversi contesti globali; questi incidenti sottolineano l’importanza della sicurezza informatica e la necessità di una continua vigilanza nelle infrastrutture digitali; da notare che uno di questi casi simili riguarda sempre criminali informatici dalla Corea del Nord che hanno sfruttato log4j.
La comunità internazionale, insieme alle aziende e agli enti governativi, è chiamata a collaborare per sviluppare e implementare misure di difesa informatica robuste al fine di mitigare il rischio di attacchi informatici avanzati, pertanto la condivisione di informazioni e l’adozione di migliori pratiche sono essenziali (per proteggersi da “attacchi” che spesso più che altro sono esche, come lo stessoTODDLERSHARK) per affrontare le crescenti minacce nel panorama digitale sempre più complesso e interconnesso.