ScreenConnect 漏洞被广泛利用于 ToddlerShark 恶意软件传播

 

名为 Kimsuky 的朝鲜 APT 黑客组织正在利用 ScreenConnect 漏洞（特别是 CVE-2024-1708 和 CVE-2024-1709），通过名为 ToddlerShark 的新恶意软件变体感染目标。

Kimsuky（又名Thallium 和 Velvet Chollima）是朝鲜黑客组织，以对世界各地的组织和政府进行网络间谍攻击而闻名。

据悉，该黑客组织正在利用今年2 月 20 日披露的身份验证绕过和远程代码执行缺陷，当时 ConnectWise 敦促 ScreenConnect 客户将其服务器升级到版本 23.9.8 或更高版本。2月21日这两个漏洞的公开利用程序被发布， 包括勒索软件攻击者在内的黑客很快开始在实际攻击中利用这些漏洞。

根据 Kroll 的网络情报团队与 BleepingComputer 发布的一份报告，新的 Kimsuky 恶意软件表现出多态性特征，似乎是为长期间谍活动和情报收集而设计的。

ToddlerShark 使用合法的 Microsoft 二进制文件来最大程度地减少其跟踪，执行注册表修改以降低安全防御，并通过计划任务建立持久访问，然后进入持续的数据盗窃和泄露阶段。

关于ToddleShark 的详情如下

安全研究人员Kroll 分析 ToddlerShark 是 Kimsuky 的 BabyShark 和 ReconShark 后门的新变种， 此前曾以美国、欧洲和亚洲的政府组织、研究中心、大学和智囊团为目标。

黑客首先利用这些漏洞获得对易受攻击的 ScreenConnect 端点的初始访问权限，从而获得绕过身份验证和执行代码的能力。然后 Kimsuky 会使用合法的 Microsoft 二进制文件（例如 mshta.exe）来执行恶意脚本（例如严重混淆的 VBS），将其活动与正常系统进程混合在一起。

接下来，恶意软件更改 Windows 注册表中的 VBAWarnings 键，允许在各种 Microsoft Word 和 Excel 版本上运行宏而不生成通知。同时还会创建计划任务，通过定期（每分钟）执行恶意代码来建立持久性。

ToddleShark 会定期从受感染的设备收集系统信息，包括以下信息：

• 主机名
• 系统配置详细信息
• 用户帐户
• 活跃用户会话
• 网络配置
• 安装了安全软件
• 当前所有网络连接
• 枚举正在运行的进程
• 通过解析常见安装路径和Windows开始菜单列出已安装的软件

最后，ToddlerShark 将收集到的信息编码在隐私增强邮件 (PEM) 证书中，并发送到攻击者的命令和控制 (C2) 基础设施中，这是一种先进且已知的 Kimsuky 策略。

多态恶意软件

新恶意软件的一个显着功能是多态性，这使其能够在很多情况下绕过检测，并使分析变得更具挑战性。ToddleShark 通过多种技术实现了这一目标。

首先，它在初始感染步骤中使用的严重混淆的 VBScript 中使用随机生成的函数和变量名称，这使得静态检测变得更加困难。大量散布着垃圾代码的十六进制编码代码可能会使恶意软件有效负载看起来是良性的或不可执行的。

此外，ToddlerShark 采用随机字符串和[功能]代码定位，这足以改变其结构模式，从而使基于签名的检测对其无效。

最后，用于下载附加阶段的 URL 是动态生成的，并且从 C2 获取的初始有效负载的哈希值始终是唯一的，因此标准的阻止列表方法无法进行有效监测。

Kroll通过博客文章分享了与 ToddlerShark 相关的具体细节和IoC。

原文链接：https://www.bleepingcomputer.com/news/security/screenconnect-flaws-exploited-to-drop-new-toddlershark-malware/

图片来源：https://www.bleepingcomputer.com/news/security/screenconnect-flaws-exploited-to-drop-new-toddlershark-malware/

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径， 

原文始发于微信公众号（掌控安全EDU）：ScreenConnect 漏洞被广泛利用于 ToddlerShark 恶意软件传播