北韩骇客利用ConnectWise ScreenConnect漏洞进行网络攻击

主要信息摘要

近期，北韩国家支持的骇客组织Kimsuky（又名Velvet Chollima和Thallium）利用ConnectWiseScreenConnect的漏洞（CVE-2024-1708和CVE-2024-1709）来推进ToddleShark恶意软件的散播。这一恶意软件被怀疑是该组织过去ReconShark和BabyShark有效载荷的更新版本。攻击者首先渗透易受攻击的ScreenConnect实例，然后执行恶意脚本，并改变Windows注册表中的VBAWarnings键，最终将收集到的系统信息传送至其控制的命令与控制伺服器。

根据的报导，Kimsuky在利用漏洞后，通过合法的Microsoft二进制文件执行恶意脚本。该组织会让ToddleShark篡改Windows注册表中的VBAWarnings键，并收集系统的各种信息，这些信息最终会被外泄到骇客控制的伺服器。即将由Kroll发布的报告也显示，ToddleShark的多形态特性使得其恶意活动的隐蔽性更高。该恶意软件不仅在其VBScript中利用随机的功能和变量名称，还使用随机化的字符串和代码位置，并动态生成用于下载的URL。

Kroll研究人员将会提供有关这款恶意软件的更多指标，以便用户进行防范。

值得注意的是，ToddleShark的多形态性加强了其隐蔽性，使其能够利用随机函数、变量名称以及动态生成的字符串来掩盖恶意活动。随著这一新型恶意软件的出现，系统管理员需要提升系统安全防护，以防止此类攻击的影响。