Kroll 专家披露朝鲜黑客组织正在传播ToddleShark恶意软件

阅读量41309

发布时间 : 2024-03-06 10:25:16

Kroll 透露了使用 ScreenConnect 进行的新 Kimsuky 网络攻击的详细信息。

Kroll 专家 告诉 BleepingComputer,朝鲜黑客组织 Kimsuky 正在利用ScreenConnect漏洞传播 ToddleShark 恶意软件的新变种。

这些攻击利用了以下弱点:

  • 路径遍历 漏洞CVE-2024-1708(CVSS评分:8.4),导致远程代码执行(RCE)。
  • 身份验证绕过漏洞CVE-2024-1709(CVSS评分:10.0),该漏洞允许攻击者直接访问敏感信息或关键系统。

这些漏洞于2月20日被公开,第二天网络上就出现了公开的利用漏洞,导致 大规模利用错误 进行网络攻击,其中包括 涉及勒索软件的攻击。

Kroll 表示,ToddleShark 恶意软件具有多态特征,专为长期侦察和信息收集而设计。ToddleShark 使用合法的 Microsoft 二进制文件来最大程度地减少其占用空间,修改注册表以降低安全性,并通过计划任务创建对受感染系统的持久访问,之后就会开始持续的数据盗窃和泄露阶段。

Kroll 分析师认为,ToddleShark 是先前已知的 Kimsuky 恶意软件 BabyShark 和 ReconShark 的新变种, 这两种恶意软件此前曾用于攻击美国、欧洲和亚洲的政府组织、研究中心、大学和智囊团。

该病毒从受感染的设备收集信息,包括:

  • 主机名;
  • 系统配置;
  • 用户帐户;
  • 活跃期;
  • 网络设置;
  • 安装安全软件;
  • 当前的网络连接;
  • 正在运行的进程列表;
  • 已安装软件的列表。

然后,ToddleShark 将收集到的信息编码到 PEM 证书中,并将其传输到攻击者的命令和控制 ( C2 ) 服务器。

ToddleShark 的关键功能之一是其多态性,这使得它能够通过使用随机生成的函数和变量名称以及动态更改 URL 来加载其他恶意软件阶段来逃避检测。

预计 Kroll 未来几天将在其网站上分享 ToddleShark 的详细信息和妥协指标 (IoC)。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+16赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66