Kimsuky（又名 Thallium 和 Velvet Chollima）是一個朝鮮黑客組織，以對全球組織和政府進行網(wǎng)絡間諜攻擊而聞名。

近日，有安全人員發(fā)現(xiàn)該黑客組織正利用 ScreenConnect 漏洞投遞ToddleShark 的新型惡意軟件，尤其是 CVE-2024-1708 和 CVE-2024-1709。

據(jù)悉，這些黑客利用的是今年 2 月 20 日披露的身份驗證繞過和遠程代碼執(zhí)行漏洞，當時 ConnectWise 敦促 ScreenConnect 客戶立即將其服務器升級到 23.9.8 或更高版本。2 月 21 日，針對這兩個漏洞的公開漏洞被發(fā)布，包括勒索軟件行為者在內(nèi)的黑客們很快開始在實際攻擊中利用這些漏洞。

根據(jù) Kroll 網(wǎng)絡情報團隊發(fā)布的報告，新的 Kimsuky 惡意軟件具有多態(tài)性特征，似乎是為長期間諜活動和情報搜集而設計的。

ToddleShark使用合法的微軟二進制文件來最小化其痕跡，執(zhí)行注冊表修改以降低安全防御，并通過計劃任務建立持久訪問，隨后是持續(xù)的數(shù)據(jù)竊取和外滲階段。

ToddleShark 的詳細信息

克羅爾公司的分析師表示，ToddleShark 是 Kimsuky 的 BabyShark 和 ReconShark 后門的新變種，以前曾以美國、歐洲和亞洲的政府組織、研究中心、大學和智庫為目標。

黑客通過利用漏洞獲得 ScreenConnect 端點的初始訪問權限，從而獲得身份驗證繞過和代碼執(zhí)行能力。隨后 Kimsuky 會使用合法的微軟二進制文件（如 mshta.exe）來執(zhí)行惡意腳本，如嚴重混淆的 VBS，將其活動與正常的系統(tǒng)進程混合。

該惡意軟件會更改 Windows 注冊表中的 VBAWarnings 鍵，允許在各種 Microsoft Word 和 Excel 版本上運行宏。同時創(chuàng)建計劃任務，通過定期（每分鐘）執(zhí)行惡意代碼來建立持久性。

注冊表修改（克羅爾）

ToddleShark 會定期從受感染設備中收集系統(tǒng)信息，包括以下內(nèi)容：

• 主機名
• 系統(tǒng)配置詳情
• 用戶賬戶
• 活動用戶會話
• 網(wǎng)絡配置
• 已安裝的安全軟件
• 所有當前網(wǎng)絡連接
• 枚舉正在運行的進程
• 通過解析常用安裝路徑和 Windows 開始菜單列出已安裝的軟件

用于竊取數(shù)據(jù)的 16 個 cmd.exe 實例（Kroll）

最后，ToddleShark 會將收集到的信息編碼成隱私增強郵件 (PEM) 證書，并外泄到攻擊者的指揮和控制 (C2) 基礎設施，這是一種先進的已知 Kimsuky 策略。

多態(tài)惡意軟件

新惡意軟件的一個顯著特征是多態(tài)性，這使其在許多情況下都能逃避檢測，并使分析更具挑戰(zhàn)性。ToddleShark 通過幾種技術實現(xiàn)了這一點。

首先，它在初始感染步驟中使用的被嚴重混淆的 VBScript 中使用隨機生成的函數(shù)和變量名，從而增加了靜態(tài)檢測的難度。大量十六進制編碼代碼與垃圾代碼穿插在一起，可能會使惡意軟件有效載荷看起來是良性或不可執(zhí)行的。

隱藏在垃圾代碼中的功能代碼（Kroll）

此外，ToddleShark 還采用了隨機字符串和[功能]代碼定位，這足以改變其結構模式，使基于簽名的檢測對其無效。

最后，用于下載附加階段的 URL 是動態(tài)生成的，從 C2 獲取的初始有效載荷的哈希值始終是唯一的，因此標準的攔截列表方法幾乎是無效的。

Kroll 公司將在其網(wǎng)站上發(fā)布博文，分享與 ToddleShark 有關的具體細節(jié)和（入侵指標）IoC。