Según Kroll, actores de amenazas de Corea del Norte han aprovechado vulnerabilidades de seguridad de ConnectWise ScreenConnect para desplegar su nuevo malware denominado TODDLERSHARK. El malware, que se solapa con otros conocidos como BabyShark y ReconShark, se propaga aprovechando un asistente de configuración de ScreenConnect y utiliza cmd.exe para ejecutar malware basado en Visual Basic (VB) a través de una URL.
Los investigadores de seguridad han identificado las vulnerabilidades de ConnectWise como CVE-2024-1708 y CVE-2024-1709, que han sido explotadas por múltiples actores de amenazas para proporcionar ransomware, mineros de criptomonedas, troyanos de acceso remoto y malware de robo.
Kimsuky, también conocido como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), KTA082, Nickel Kimball y Velvet Chollima, ha expandido su arsenal de malware con nuevas herramientas, como GoBear y Troll Stealer. La última variante, TODDLERSHARK, utiliza una tarea programada para la persistencia y está diseñada para capturar y exfiltrar información sensible sobre los hosts comprometidos, lo que lo convierte en una valiosa herramienta de reconocimiento.
Además de exhibir elementos de comportamiento polimórfico y using URLs de C2 únicas, el malware también cambia su código a través del código basura generado, lo que puede dificultar su detección en algunos entornos.
Según el Servicio de Inteligencia Nacional de Corea del Sur (NIS), su homólogo del norte ha comprometido los servidores de dos fabricantes de semiconductores nacionales y ha robado datos valiosos. Las intrusiones digitales tuvieron lugar en diciembre de 2023 y febrero de 2024. Los actores de amenazas han utilizado técnicas de vivir-de-la-tierra (LotL) en lugar de distribuir malware para evitar mejor la detección. NIS sospecha que Corea del Norte está preparándose para su propia producción de semiconductores debido a las sanciones contra su país y al aumento de la demanda debido al desarrollo de armas como misiles satelitales.
Vía The Hacker News
