Malware TODDLESHARK
Los expertos en ciberseguridad han identificado un nuevo malware llamado TODDLERSHARK, implementado por actores de amenazas norcoreanos que aprovecharon las vulnerabilidades de seguridad reveladas recientemente en ConnectWise ScreenConnect. Un informe indica que TODDLERSHARK comparte similitudes con el malware Kimsuky previamente conocido, incluidos BabyShark y ReconShark.
Los actores relacionados con el fraude accedieron a la estación de trabajo de la víctima aprovechando las vulnerabilidades en el asistente de configuración de la aplicación ScreenConnect. Con este acceso de 'teclado práctico', emplearon cmd.exe para ejecutar mshta.exe, incorporando una URL vinculada al malware basado en Visual Basic (VB).
Las vulnerabilidades en el centro de los problemas de seguridad de ConnectWise son CVE-2024-1708 y CVE-2024-1709. Desde que se expusieron estas vulnerabilidades, múltiples actores de amenazas las han explotado ampliamente. Estos actores malévolos han utilizado las vulnerabilidades para distribuir una variedad de cargas útiles inseguras, incluidos mineros de criptomonedas, ransomware, troyanos de acceso remoto (RATS) y malware ladrón.
Tabla de contenido
Los ciberdelincuentes de Kimsuky se encuentran entre los más activos
El grupo Kimsuky Advanced Persistent Threat (APT), reconocido por varios alias como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), KTA082, Nickel Kimball y Velvet Chollima, ha ampliado constantemente su repertorio de herramientas de malware. Entre las últimas incorporaciones se encuentran GoBear y Troll Stealer.
Identificado por primera vez a finales de 2018, BabyShark se inició a través de un archivo de aplicación HTML (HTA). Tras su ejecución, este malware de script VB extrae información del sistema y la envía a un servidor de comando y control (C2). Además, BabyShark establece persistencia en el sistema, a la espera de más instrucciones del operador.
En mayo de 2023 se detectó una variante de BabyShark, denominada ReconShark. Se entregó a través de correos electrónicos de phishing dirigidos específicamente a individuos, mostrando la continua evolución y adaptabilidad del grupo APT en sus operaciones cibernéticas.
Se cree que el malware TODDLESHARK es una evolución de amenazas anteriores de Kimsuki
TODDLERSHARK se considera la última versión del mismo malware, evidente tanto por las similitudes en el código como en el comportamiento. Además de utilizar una tarea programada para mantener la persistencia, el malware está diseñado para capturar y transmitir de manera efectiva información confidencial desde hosts comprometidos, funcionando como una valiosa herramienta de reconocimiento.
TODDLERSHARK demuestra características de comportamiento polimórfico, que se manifiesta a través de alteraciones en las cadenas de identidad dentro de su código, cambiando la posición del código a través de código basura generado y empleando URL de comando y control (C2) generadas de forma única. Estas características contribuyen al desafío potencial de detectar este malware en ciertos entornos.
Medidas recomendadas por investigadores de ciberseguridad contra el malware TODDLESHARK
Para mejorar la seguridad de los sistemas que ejecutan ConnectWise ScreenConnect versiones 23.9.7 y anteriores, es esencial tomar medidas inmediatas. Seguir las pautas descritas en el aviso de ConnectWise es crucial para abordar posibles compromisos. Es imperativo priorizar la protección y el monitoreo de los sistemas, particularmente aquellos accesibles a través de Internet. Esto se puede lograr implementando una detección y respuesta de endpoints (EDR) o una herramienta antimalware configurada específicamente para realizar análisis exhaustivos del sistema en busca de webshells.
Además, se recomienda la implementación o configuración de un firewall de aplicaciones web (WAF) o un sistema de monitoreo de tráfico web comparable. Esta medida facilita el análisis en tiempo real, ofreciendo capacidades de detección mejoradas en caso de una posible explotación, contribuyendo a una infraestructura de seguridad más sólida y resiliente.
