Kroll 透露了使用 ScreenConnect 进行的新 Kimsuky 网络攻击的详细信息。

Kroll 专家 告诉 BleepingComputer，朝鲜黑客组织 Kimsuky 正在利用ScreenConnect漏洞传播 ToddleShark 恶意软件的新变种。

这些攻击利用了以下弱点：

路径遍历 漏洞CVE-2024-1708（CVSS评分：8.4），导致远程代码执行（RCE）。
身份验证绕过漏洞CVE-2024-1709（CVSS评分：10.0），该漏洞允许攻击者直接访问敏感信息或关键系统。

这些漏洞于2月20日被公开，第二天网络上就出现了公开的利用漏洞，导致 大规模利用错误 进行网络攻击，其中包括 涉及勒索软件的攻击。

Kroll 表示，ToddleShark 恶意软件具有多态特征，专为长期侦察和信息收集而设计。ToddleShark 使用合法的 Microsoft 二进制文件来最大程度地减少其占用空间，修改注册表以降低安全性，并通过计划任务创建对受感染系统的持久访问，之后就会开始持续的数据盗窃和泄露阶段。

Kroll 分析师认为，ToddleShark 是先前已知的 Kimsuky 恶意软件 BabyShark 和 ReconShark 的新变种， 这两种恶意软件此前曾用于攻击美国、欧洲和亚洲的政府组织、研究中心、大学和智囊团。

该病毒从受感染的设备收集信息，包括：

主机名；
系统配置;
用户帐户；
活跃期;
网络设置;
安装安全软件；
当前的网络连接；
正在运行的进程列表；
已安装软件的列表。

然后，ToddleShark 将收集到的信息编码到 PEM 证书中，并将其传输到攻击者的命令和控制 ( C2 ) 服务器。

ToddleShark 的关键功能之一是其多态性，这使得它能够通过使用随机生成的函数和变量名称以及动态更改 URL 来加载其他恶意软件阶段来逃避检测。

预计 Kroll 未来几天将在其网站上分享 ToddleShark 的详细信息和妥协指标 (IoC)。

文章原文链接:https://www.anquanke.com/post/id/293633