Контакты
Подписка 2025
ITSEC 2025
Защищенный удаленный доступ к ИТ-инфраструктуре. Обсуждаем решения 3 июля на онлайн-конференции
Регистрируйтесь и участвуйте!

Северокорейцы взламывают сервера ScreenConnect с помощью "акулы-малыша"

11/03/24

hack korean-2

Северокорейские хакеры использовали недавно обнаруженные уязвимости в ConnectWise ScreenConnect для развертывания нового вредоносного ПО под названием TODDLERSHARK.

По данным отчета компании Kroll, TODDLERSHARK имеет схожие черты с известными вредоносами Kimsuky, такими как BabyShark и ReconShark, пишет Securitylab.

«Злоумышленники получили доступ к рабочим станциям жертв, эксплуатируя уязвимость в мастере настройки приложения ScreenConnect», — сообщают исследователи информационной безопасности Кит Войцешек, Джордж Гласс и Дэйв Труман. «Затем они использовали полученный доступ для выполнения mshta.exe с URL-адресом вредоносного ПО, написанного на Visual Basic».

Речь идет об уязвимостях ConnectWise CVE-2024-1708 и CVE-2024-1709, о которых стало известно в конце февраля. С тех пор они активно эксплуатируются различными группировками для доставки майнеров криптовалют, программ-вымогателей, ПО удаленного доступа и инфостилеров.

Группировка Kimsuky, также известная как APT43, постоянно расширяет свой арсенал вредоносов, последними из которых стали GoBear и Troll Stealer. BabyShark, обнаруженный в конце 2018 года, запускается с помощью HTML-приложения. Проникнув в систему, он похищает системную информацию, сохраняет присутствие и ждет дальнейших указаний указаний оператора.

В мае 2023 года был замечен вариант BabyShark под названием ReconShark, распространявшийся через фишинговые письма. TODDLERSHARK считается новейшей эволюцией этого вредоноса из-за сходства кода и тактики.

В основном этот софт предназначен для кражи конфиденциальных данных со скомпрометированных систем, действуя как инструмент кибершпионажа.

Разработчики предупреждают, что TODDLERSHARK «проявляет элементы полиморфного поведения, что может затруднить его обнаружение в некоторых средах».

Тем временем Национальная разведывательная служба Южной Кореи обвинила КНДР в компрометации серверов двух отечественных производителей полупроводников и краже ценных данных в декабре 2023 и феврале 2024 года. Предполагается, что Северная Корея может готовиться к собственному производству полупроводников из-за трудностей с закупками, вызванных санкциями, и растущим спросом на них для разработки вооружений.

Темы:ПреступленияКНДРсерверыХакерские атаки
КИИ
Как минимизировать киберриски и обеспечить непрерывность бизнеса: управление инцидентами
Узнайте на конференции 31 июля →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Отечественное ПО для объектов КИИ
Участвуйте 23 июля →

Еще темы...

More...