Kroll je otkrio sofisticirani sajber napad koji koristi ranjivosti u softveru ConnectWise ScreenConnect za implementaciju varijante malvera BabyShark pod nazivom ToddlerShark. Ova ciljana kampanja iskorištava nedostatke ScreenConnect-a u alatu za daljinski pristup kako bi dobila neovlašteni pristup i isporučila zlonamjerni teret.
Uronimo u detalje
Sjevernokorejska APT grupa Kimsuky navodno koristi nedostatke ScreenConnect-a—CVE-2024-1708 i CVE-2024-1709—za implementaciju ToddlerSharka za dugoročnu špijunažu i eksfiltraciju podataka.
- Istraživači vjeruju da je to nova varijanta Kimsukyjevih ReconShark i BabyShark backdoora. Oni su se ranije koristili u kampanjama usmjerenim na vladine organizacije, univerzitete i druge subjekte širom SAD-a, Azije i Evrope.
- ToddlerShark koristi polimorfne osobine, legitimne Microsoft binarne datoteke i modifikacije registra kako bi uspostavio postojanost i prikupio osjetljive informacije sa zaraženih uređaja.
- Osim toga, koristi jedinstvene C2 URL-ove, što ga čini izazovnim za otkrivanje.
ScreenConnect vremenska linija zloupotrebe grešaka
Ransomware bande Black Basta i Bl00dy takođe su uočene kako ciljaju na grešku CVE-2024-1709. Treba napomenuti da ova ranjivost ima CVSS ocjenu 10.
- U februaru, Sophos je upozorio da ransomware grupa LockBit iskorištava ranjivosti.
- U januaru je HHS HC3 izdao upozorenje o napadima na firme iz zdravstvenog sektora koje koriste ConnectWise-ov ScreenConnect alat za daljinski pristup.
- Upozorenje je uslijedilo nakon što je 2023. kompromitovan veliki lanac nabavke apoteka koji koristi verziju ScreenConnect-a koji se hostuje samostalno, što je potencijalno dovelo u opasnost druge subjekte.
Zaključak
Broj napadača koji zloupotrebljavaju nedostatke ScreenConnect-a raste, svakim danom. Uz usklađene napore da se daju prioritet sigurnosnim ažuriranjima i usvajanjem proaktivnog sigurnosnog stava, organizacije mogu zaštititi svoje sisteme i podatke od sajber napada.
Izvor: Cyware Alerts – Hacker News
