Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Северокорейцы взламывают сервера ScreenConnect с помощью "акулы-малыша"

11/03/24

hack korean-2

Северокорейские хакеры использовали недавно обнаруженные уязвимости в ConnectWise ScreenConnect для развертывания нового вредоносного ПО под названием TODDLERSHARK.

По данным отчета компании Kroll, TODDLERSHARK имеет схожие черты с известными вредоносами Kimsuky, такими как BabyShark и ReconShark, пишет Securitylab.

«Злоумышленники получили доступ к рабочим станциям жертв, эксплуатируя уязвимость в мастере настройки приложения ScreenConnect», — сообщают исследователи информационной безопасности Кит Войцешек, Джордж Гласс и Дэйв Труман. «Затем они использовали полученный доступ для выполнения mshta.exe с URL-адресом вредоносного ПО, написанного на Visual Basic».

Речь идет об уязвимостях ConnectWise CVE-2024-1708 и CVE-2024-1709, о которых стало известно в конце февраля. С тех пор они активно эксплуатируются различными группировками для доставки майнеров криптовалют, программ-вымогателей, ПО удаленного доступа и инфостилеров.

Группировка Kimsuky, также известная как APT43, постоянно расширяет свой арсенал вредоносов, последними из которых стали GoBear и Troll Stealer. BabyShark, обнаруженный в конце 2018 года, запускается с помощью HTML-приложения. Проникнув в систему, он похищает системную информацию, сохраняет присутствие и ждет дальнейших указаний указаний оператора.

В мае 2023 года был замечен вариант BabyShark под названием ReconShark, распространявшийся через фишинговые письма. TODDLERSHARK считается новейшей эволюцией этого вредоноса из-за сходства кода и тактики.

В основном этот софт предназначен для кражи конфиденциальных данных со скомпрометированных систем, действуя как инструмент кибершпионажа.

Разработчики предупреждают, что TODDLERSHARK «проявляет элементы полиморфного поведения, что может затруднить его обнаружение в некоторых средах».

Тем временем Национальная разведывательная служба Южной Кореи обвинила КНДР в компрометации серверов двух отечественных производителей полупроводников и краже ценных данных в декабре 2023 и феврале 2024 года. Предполагается, что Северная Корея может готовиться к собственному производству полупроводников из-за трудностей с закупками, вызванных санкциями, и растущим спросом на них для разработки вооружений.

Темы:ПреступленияКНДРсерверыХакерские атаки
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...