Kroll 透露了使用 ScreenConnect 进行的新 Kimsuky 网络攻击的详细信息。
Kroll 专家 告诉 BleepingComputer,朝鲜黑客组织 Kimsuky 正在利用ScreenConnect漏洞传播 ToddleShark 恶意软件的新变种。
这些攻击利用了以下弱点:
- 路径遍历 漏洞CVE-2024-1708(CVSS评分:8.4),导致远程代码执行(RCE)。
- 身份验证绕过漏洞CVE-2024-1709(CVSS评分:10.0),该漏洞允许攻击者直接访问敏感信息或关键系统。
这些漏洞于2月20日被公开,第二天网络上就出现了公开的利用漏洞,导致 大规模利用错误 进行网络攻击,其中包括 涉及勒索软件的攻击。
Kroll 表示,ToddleShark 恶意软件具有多态特征,专为长期侦察和信息收集而设计。ToddleShark 使用合法的 Microsoft 二进制文件来最大程度地减少其占用空间,修改注册表以降低安全性,并通过计划任务创建对受感染系统的持久访问,之后就会开始持续的数据盗窃和泄露阶段。
Kroll 分析师认为,ToddleShark 是先前已知的 Kimsuky 恶意软件 BabyShark 和 ReconShark 的新变种, 这两种恶意软件此前曾用于攻击美国、欧洲和亚洲的政府组织、研究中心、大学和智囊团。
该病毒从受感染的设备收集信息,包括:
- 主机名;
- 系统配置;
- 用户帐户;
- 活跃期;
- 网络设置;
- 安装安全软件;
- 当前的网络连接;
- 正在运行的进程列表;
- 已安装软件的列表。
然后,ToddleShark 将收集到的信息编码到 PEM 证书中,并将其传输到攻击者的命令和控制 ( C2 ) 服务器。
ToddleShark 的关键功能之一是其多态性,这使得它能够通过使用随机生成的函数和变量名称以及动态更改 URL 来加载其他恶意软件阶段来逃避检测。
预计 Kroll 未来几天将在其网站上分享 ToddleShark 的详细信息和妥协指标 (IoC)。
发表评论
您还未登录,请先登录。
登录