Bilgisayar Korsanları, TODDLERSHARK Kötü Amaçlı Yazılımını Dağıtmak için ConnectWise ScreenConnect Kusurlarından Yararlanıyor
Kuzey Koreli tehdit aktörleri, TODDLERSHARK adlı yeni bir kötü amaçlı yazılım dağıtmak için ConnectWise ScreenConnect'te yakın zamanda açıklanan güvenlik açıklarından yararlandı.
Kroll'un paylaştığı bir rapora göre TODDLERSHARK, BabyShark ve ReconShark gibi bilinen Kimsuky kötü amaçlı yazılımlarıyla örtüşüyor.
Güvenlik araştırmacıları Keith Wojcieszek, George Glass ve Dave Truman, "Tehdit aktörü, ScreenConnect uygulamasının açıkta kalan kurulum sihirbazından yararlanarak kurban iş istasyonuna erişim sağladı" dedi.
"Daha sonra, Visual Basic (VB) tabanlı kötü amaçlı yazılımın URL'si ile mshta.exe yürütmek için cmd.exe kullanmak için artık 'klavyede eller' erişiminden yararlandılar."
Söz konusu ConnectWise kusurları, geçen ay ortaya çıkan ve o zamandan beri kripto para madencileri, fidye yazılımları, uzaktan erişim truva atları ve hırsız kötü amaçlı yazılımlar sunmak için birden fazla tehdit aktörü tarafından yoğun bir şekilde istismar edilen CVE-2024-1708 ve CVE-2024-1709'dur.
APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (önceden Thallium), KTA082, Nickel Kimball ve Velvet Chollima olarak da bilinen Kimsuky, kötü amaçlı yazılım cephaneliğini en sonuncusu GoBear ve Troll Stealer olmak üzere yeni araçlar içerecek şekilde istikrarlı bir şekilde genişletti.
İlk olarak 2018'in sonlarında keşfedilen BabyShark, bir HTML Uygulaması (HTA) dosyası kullanılarak başlatıldı. VB komut dosyası kötü amaçlı yazılımı başlatıldıktan sonra, sistem bilgilerini bir komuta ve kontrol (C2) sunucusuna aktarır, sistemde kalıcılığı korur ve operatörden daha fazla talimat bekler.
Daha sonra Mayıs 2023'te, BabyShark'ın ReconShark adlı bir varyantının, hedef odaklı kimlik avı e-postaları yoluyla özel olarak hedeflenen kişilere teslim edildiği gözlemlendi. TODDLERSHARK, kod ve davranış benzerlikleri nedeniyle aynı kötü amaçlı yazılımın en son evrimi olarak değerlendirilmektedir.
Kötü amaçlı yazılım, kalıcılık için zamanlanmış bir görev kullanmanın yanı sıra, güvenliği ihlal edilmiş ana bilgisayarlar hakkında hassas bilgileri yakalamak ve sızdırmak için tasarlanmıştır, böylece değerli bir keşif aracı görevi görür.
Araştırmacılar, TODDLERSHARK'ın "koddaki kimlik dizelerini değiştirme, oluşturulan önemsiz kod aracılığıyla kodun konumunu değiştirme ve bu kötü amaçlı yazılımın bazı ortamlarda tespit edilmesini zorlaştırabilecek benzersiz şekilde oluşturulmuş C2 URL'lerini kullanma şeklinde polimorfik davranış unsurları sergilediğini" söyledi.
Gelişme, Güney Kore Ulusal İstihbarat Servisi'nin (NIS) kuzeydeki mevkidaşını iki yerli (ve isimsiz) yarı iletken üreticisinin sunucularını tehlikeye atmak ve değerli verileri çalmakla suçladığı sırada geldi.
Dijital saldırılar Aralık 2023 ve Şubat 2024'te gerçekleşti. Tehdit aktörlerinin, ilk erişim elde etmek için internete maruz kalan ve savunmasız sunucuları hedefledikleri ve daha sonra tespit edilmekten daha iyi kaçınmak için kötü amaçlı yazılım bırakmak yerine karada yaşama (LotL) tekniklerinden yararlandıkları söyleniyor.
NIS, "Kuzey Kore, Kuzey Kore'ye yönelik yaptırımlar nedeniyle yarı iletken tedarikinde yaşanan zorluklar ve uydu füzeleri gibi silahların geliştirilmesi nedeniyle artan talep nedeniyle kendi yarı iletken üretimi için hazırlıklara başlamış olabilir" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı