Bilgisayar Korsanları, TODDLERSHARK Kötü Amaçlı Yazılımını Dağıtmak için ConnectWise ScreenConnect Kusurlarından Yararlanıyor

Kroll'un paylaştığı bir rapora göre TODDLERSHARK, BabyShark ve ReconShark gibi bilinen Kimsuky kötü amaçlı yazılımlarıyla örtüşüyor.

Güvenlik araştırmacıları Keith Wojcieszek, George Glass ve Dave Truman, "Tehdit aktörü, ScreenConnect uygulamasının açıkta kalan kurulum sihirbazından yararlanarak kurban iş istasyonuna erişim sağladı" dedi.

"Daha sonra, Visual Basic (VB) tabanlı kötü amaçlı yazılımın URL'si ile mshta.exe yürütmek için cmd.exe kullanmak için artık 'klavyede eller' erişiminden yararlandılar."

Söz konusu ConnectWise kusurları, geçen ay ortaya çıkan ve o zamandan beri kripto para madencileri, fidye yazılımları, uzaktan erişim truva atları ve hırsız kötü amaçlı yazılımlar sunmak için birden fazla tehdit aktörü tarafından yoğun bir şekilde istismar edilen CVE-2024-1708 ve CVE-2024-1709'dur.

APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (önceden Thallium), KTA082, Nickel Kimball ve Velvet Chollima olarak da bilinen Kimsuky, kötü amaçlı yazılım cephaneliğini en sonuncusu GoBear ve Troll Stealer olmak üzere yeni araçlar içerecek şekilde istikrarlı bir şekilde genişletti.

İlk olarak 2018'in sonlarında keşfedilen BabyShark, bir HTML Uygulaması (HTA) dosyası kullanılarak başlatıldı. VB komut dosyası kötü amaçlı yazılımı başlatıldıktan sonra, sistem bilgilerini bir komuta ve kontrol (C2) sunucusuna aktarır, sistemde kalıcılığı korur ve operatörden daha fazla talimat bekler.

Daha sonra Mayıs 2023'te, BabyShark'ın ReconShark adlı bir varyantının, hedef odaklı kimlik avı e-postaları yoluyla özel olarak hedeflenen kişilere teslim edildiği gözlemlendi. TODDLERSHARK, kod ve davranış benzerlikleri nedeniyle aynı kötü amaçlı yazılımın en son evrimi olarak değerlendirilmektedir.

Kötü amaçlı yazılım, kalıcılık için zamanlanmış bir görev kullanmanın yanı sıra, güvenliği ihlal edilmiş ana bilgisayarlar hakkında hassas bilgileri yakalamak ve sızdırmak için tasarlanmıştır, böylece değerli bir keşif aracı görevi görür.

Araştırmacılar, TODDLERSHARK'ın "koddaki kimlik dizelerini değiştirme, oluşturulan önemsiz kod aracılığıyla kodun konumunu değiştirme ve bu kötü amaçlı yazılımın bazı ortamlarda tespit edilmesini zorlaştırabilecek benzersiz şekilde oluşturulmuş C2 URL'lerini kullanma şeklinde polimorfik davranış unsurları sergilediğini" söyledi.

Gelişme, Güney Kore Ulusal İstihbarat Servisi'nin (NIS) kuzeydeki mevkidaşını iki yerli (ve isimsiz) yarı iletken üreticisinin sunucularını tehlikeye atmak ve değerli verileri çalmakla suçladığı sırada geldi.

Dijital saldırılar Aralık 2023 ve Şubat 2024'te gerçekleşti. Tehdit aktörlerinin, ilk erişim elde etmek için internete maruz kalan ve savunmasız sunucuları hedefledikleri ve daha sonra tespit edilmekten daha iyi kaçınmak için kötü amaçlı yazılım bırakmak yerine karada yaşama (LotL) tekniklerinden yararlandıkları söyleniyor.

NIS, "Kuzey Kore, Kuzey Kore'ye yönelik yaptırımlar nedeniyle yarı iletken tedarikinde yaşanan zorluklar ve uydu füzeleri gibi silahların geliştirilmesi nedeniyle artan talep nedeniyle kendi yarı iletken üretimi için hazırlıklara başlamış olabilir" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği