Il gruppo di hacking sponsorizzato dallo stato nordcoreano Kimsuky, noto anche come Velvet Chollima e Thallium, sta sfruttando le vulnerabilità di ConnectWise ScreenConnect, identificate come CVE-2024-1708 e CVE-2024-1709, per implementare il malware ToddleShark. Questo nuovo malware sembra essere una versione aggiornata dei precedenti payload di Kimsuky, ReconShark e BabyShark.
Metodologia degli Attacchi
Dopo aver compromesso le istanze vulnerabili di ScreenConnect ed eseguito script malevoli tramite binari legittimi di Microsoft, Kimsuky permette a ToddleShark di modificare le chiavi VBAWarnings del Registro di Windows, facilitando la raccolta di varie informazioni di sistema per essere poi esfiltrate a un server di comando e controllo controllato dall’attaccante.
Caratteristiche e Funzionalità di ToddleShark
ToddleShark, grazie alla sua natura polimorfica, riesce a nascondere efficacemente le attività malevole. Il malware utilizza funzioni casuali e nomi di variabili nel suo VBScript, oltre a stringhe e posizionamenti di codice casualizzati e URL generati dinamicamente per il download di ulteriori fasi. Queste tecniche rendono ToddleShark particolarmente sfuggente e difficile da rilevare.
Dettagli su ToddleShark
ToddleShark usa binari Microsoft legittimi per minimizzare le tracce, esegue modifiche al registro per abbassare le difese di sicurezza e stabilisce un accesso persistente attraverso compiti pianificati, seguiti da una fase di furto continuo di dati ed esfiltrazione. Gli analisti di Kroll stimano che ToddleShark sia una nuova variante dei backdoor BabyShark e ReconShark di Kimsuky, precedentemente osservati in attacchi contro organizzazioni governative, centri di ricerca, università e think tank in Stati Uniti, Europa e Asia.
Implicazioni e Difese
Gli attacchi di Kimsuky che sfruttano le vulnerabilità di ScreenConnect evidenziano l’importanza di mantenere aggiornati i software e i sistemi per prevenire potenziali compromissioni. L’uso di tecniche polimorfiche da parte di ToddleShark sottolinea inoltre la necessità di soluzioni di sicurezza avanzate, capaci di rilevare minacce che si evolvono dinamicamente. Le organizzazioni dovrebbero rimanere vigilanti e implementare pratiche di sicurezza robuste per proteggersi da tali sofisticate minacce informatiche.