- 13,854
- 20
- 8 Ноя 2022
Kroll раскрыла детали новой кибератаки Kimsuky с использованием ScreenConnect.
Специалисты компании Kroll Для просмотра ссылки Войдиили Зарегистрируйся изданию BleepingComputer, что северокорейская хакерская группа Kimsuky эксплуатирует уязвимости ScreenConnect для распространения нового варианта вредоносного ПО ToddleShark.
В ходе атак используются следующие недостатки:
Данные уязвимости были обнародованы 20 февраля, а уже на следующий день в сети появились публичные эксплойты, что привело к Для просмотра ссылки Войдиили Зарегистрируйся в кибератаках, в том числе Для просмотра ссылки Войди или Зарегистрируйся
По данным компании Kroll, вредоносное ПО ToddleShark обладает полиморфными характеристиками и предназначено для длительной разведки и сбора информации. ToddleShark использует легитимные бинарные файлы Microsoft для минимизации своих следов, модифицирует реестр для снижения защиты и создает постоянный доступ к зараженным системам через запланированные задачи, после чего начинается фаза беспрерывной кражи и эксфильтрации данных.
Аналитики Kroll считают, что ToddleShark является новым вариантом ранее известных вредоносных программ Kimsuky – Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся которые ранее использовались в атаках на правительственные организации, исследовательские центры, университеты и аналитические центры в США, Европе и Азии.
Вирус собирает информацию с зараженных устройств, включая:
Затем ToddleShark кодирует собранную информацию в сертификаты PEM и передает ее на серверы управления и контроля злоумышленников (Command and Control, C2 ).
Одной из ключевых особенностей ToddleShark является его полиморфизм, позволяющий избежать обнаружения благодаря использованию случайно генерируемых функций и имен переменных, а также динамически изменяемых URL-адресов для загрузки дополнительных стадий вредоносного ПО.
Ожидается, что компания Kroll поделится деталями и индикаторами компрометации (Indicator of Compromise, IoC) ToddleShark на своем сайте в ближайшие дни.
Специалисты компании Kroll Для просмотра ссылки Войди
В ходе атак используются следующие недостатки:
- уязвимость обхода пути ( path traversal ) CVE-2024-1708 (оценка CVSS: 8.4), приводящая к удаленному выполнению кода (Remote Code Execution, RCE ).
- уязвимость обхода аутентификации CVE-2024-1709 (оценка CVSS: 10.0), которая предоставляет злоумышленнику прямой доступ к конфиденциальной информации или критически важным системам.
Данные уязвимости были обнародованы 20 февраля, а уже на следующий день в сети появились публичные эксплойты, что привело к Для просмотра ссылки Войди
По данным компании Kroll, вредоносное ПО ToddleShark обладает полиморфными характеристиками и предназначено для длительной разведки и сбора информации. ToddleShark использует легитимные бинарные файлы Microsoft для минимизации своих следов, модифицирует реестр для снижения защиты и создает постоянный доступ к зараженным системам через запланированные задачи, после чего начинается фаза беспрерывной кражи и эксфильтрации данных.
Аналитики Kroll считают, что ToddleShark является новым вариантом ранее известных вредоносных программ Kimsuky – Для просмотра ссылки Войди
Вирус собирает информацию с зараженных устройств, включая:
- названия хостов;
- конфигурацию системы;
- учетные записи пользователей;
- активные сессии;
- настройки сети;
- установленное ПО безопасности;
- текущие сетевые подключения;
- перечень запущенных процессов;
- список установленного программного обеспечения.
Затем ToddleShark кодирует собранную информацию в сертификаты PEM и передает ее на серверы управления и контроля злоумышленников (Command and Control, C2 ).
Одной из ключевых особенностей ToddleShark является его полиморфизм, позволяющий избежать обнаружения благодаря использованию случайно генерируемых функций и имен переменных, а также динамически изменяемых URL-адресов для загрузки дополнительных стадий вредоносного ПО.
Ожидается, что компания Kroll поделится деталями и индикаторами компрометации (Indicator of Compromise, IoC) ToddleShark на своем сайте в ближайшие дни.
- Источник новости
- www.securitylab.ru
