Le groupe de piratage APT nord-coréen Kimsuky exploite les failles ScreenConnect, en particulier CVE-2024-1708 et CVE-2024-1709, pour infecter des cibles avec une nouvelle variante de malware baptisée ToddleShark.
Kimsuky (alias Thallium et Velvet Chollima) est un groupe de piratage parrainé par l’État nord-coréen connu pour ses attaques de cyberespionnage contre des organisations et des gouvernements du monde entier.
Les auteurs de la menace exploitent le contournement de l’authentification et les failles d’exécution de code à distance divulguées le 20 février 2024, lorsque ConnectWise a exhorté les clients de ScreenConnect à mettre immédiatement à niveau leurs serveurs vers la version 23.9.8 ou ultérieure.
Des exploits publics pour les deux failles ont été publiés le lendemain, et les pirates, y compris les acteurs des ransomwares, ont rapidement commencé à les exploiter lors d’attaques réelles.
Selon un prochain rapport de l’équipe de cyber-renseignement de Kroll partagé avec Breachtrace, le nouveau malware Kimsuky, qui présente des traits polymorphes, semble avoir été conçu pour l’espionnage à long terme et la collecte de renseignements.
ToddleShark utilise des binaires Microsoft légitimes pour minimiser sa trace, effectue des modifications du registre pour réduire les défenses de sécurité et établit un accès persistant via des tâches planifiées, suivies d’une phase de vol et d’exfiltration continus des données.
Détails de ToddleShark
Les analystes de Kroll estiment que ToddleShark est une nouvelle variante des portes dérobées BabyShark et ReconShark de Kimsuky, précédemment vues ciblant des organisations gouvernementales, des centres de recherche, des universités et des groupes de réflexion aux États-Unis, en Europe et en Asie.
Les pirates obtiennent d’abord un accès initial aux terminaux vulnérables ScreenConnect en exploitant les vulnérabilités, ce qui leur confère des capacités de contournement d’authentification et d’exécution de code.
Après avoir pris pied, Kimsuky utilise des binaires Microsoft légitimes, tels que mshta.exe, pour exécuter des scripts malveillants comme un VBS fortement obscurci, mélangeant ses activités avec des processus système normaux.
Ensuite, le logiciel malveillant modifie les clés VBAWarnings dans le registre Windows pour permettre aux macros de s’exécuter sur différentes versions de Microsoft Word et Excel sans générer de notifications.
Des tâches planifiées sont créées pour établir la persistance en exécutant périodiquement (toutes les minutes) le code malveillant.
Toddler Shark recueille régulièrement des informations système à partir d’appareils infectés, notamment les éléments suivants:
- Nom d’hôte
- Détails de configuration du système
- Comptes d’utilisateurs
- Sessions utilisateur actives
- Configurations réseau
- Logiciel de sécurité installé
- Toutes les connexions réseau actuelles
- Énumération des processus en cours
- Répertorier les logiciels installés en analysant les chemins d’installation courants et le menu Démarrer de Windows
Enfin, Toddler Shark encode les informations recueillies dans des certificats PEM (Privacy Enhanced Mail), exfiltrés vers l’infrastructure de commandement et de contrôle (C2) de l’attaquant, une tactique Kimsuky avancée et connue.
Malware polymorphe
Une capacité notable du nouveau malware est le polymorphisme, ce qui lui permet d’échapper à la détection dans de nombreux cas et de rendre l’analyse plus difficile. Toddler Shark y parvient grâce à plusieurs techniques.
Tout d’abord, il utilise des fonctions générées aléatoirement et des noms de variables dans le VBScript fortement obscurci utilisé lors de l’étape d’infection initiale, ce qui rend la détection statique plus difficile. De grandes quantités de code codé hexadécimal entrecoupées de code indésirable peuvent rendre la charge utile du logiciel malveillant bénigne ou non exécutable.
De plus, Toddler Shark utilise des chaînes aléatoires et un positionnement de code [fonctionnel], ce qui modifie suffisamment son modèle structurel pour rendre la détection basée sur la signature inefficace contre lui.
Enfin, les URL utilisées pour télécharger des étapes supplémentaires sont générées dynamiquement, et le hachage de la charge utile initiale extraite du C2 est toujours unique, de sorte que les méthodes de liste de blocage standard sont rendues impuissantes.
Des détails spécifiques et des IOC (indicateurs de compromis) relatifs au Requin tout-petit seront partagés par Kroll via un article de blog sur son site Web demain.