Las recientes fallas descubiertas en ScreenConnect han abierto una brecha preocupante en la seguridad cibernética, permitiendo la propagación de un malware particularmente insidioso: ToddleShark. Este desarrollo pone en relieve la constante amenaza que representan las vulnerabilidades de software y la importancia de mantenerse al día con las prácticas de seguridad en línea.
El colectivo de ciberataques norcoreano, Kimsuky, está utilizando vulnerabilidades en ScreenConnect, específicamente CVE-2024-1708 y CVE-2024-1709, para propagar una nueva cepa de malware llamada ToddlerShark.
Conocido también como Thallium y Velvet Chollima, Kimsuky es un grupo de ciberpiratas respaldado por el gobierno de Corea del Norte, famoso por sus campañas de ciberespionaje contra organizaciones y estados alrededor del globo.
Este grupo está aprovechando brechas de seguridad que permiten la omisión de autenticación y la ejecución de código a distancia, identificadas el 20 de febrero de 2024. Tras este descubrimiento, ConnectWise recomendó a los usuarios de ScreenConnect actualizar sus sistemas a la versión 23.9.8 o superior de manera inmediata. Inmediatamente después de la publicación de exploits para estas vulnerabilidades, diversos atacantes, incluyendo aquellos especializados en ransomware, iniciaron campañas de explotación.
De acuerdo con un análisis realizado por el equipo de ciberinteligencia de Kroll, el recién descubierto malware de Kimsuky, que presenta características polimórficas, parece estar diseñado para el espionaje y la recopilación de inteligencia de forma prolongada.
ToddlerShark se vale de archivos binarios auténticos de Microsoft para camuflarse, realiza cambios en el registro para debilitar las medidas de seguridad y garantiza su persistencia en el sistema mediante la creación de tareas programadas. Esta fase preparatoria es seguida por la exfiltración constante de datos sustraídos.
Conoce más sobre: Hackers de Kimsuky usa AppleSeed, Meterpreter y TinyNuke en Ataques
Los expertos de Kroll identifican a ToddlerShark como una evolución de las herramientas de ciberespionaje BabyShark y ReconShark, previamente utilizadas por Kimsuky. Estas herramientas se han empleado contra entidades gubernamentales, instituciones de investigación, universidades y think tanks en Norteamérica, Europa y Asia.
El método de ataque comienza con la explotación de puntos débiles en ScreenConnect, aprovechando las vulnerabilidades para obtener acceso sin autenticación y ejecutar código malicioso en los sistemas afectados.
Una vez dentro, Kimsuky emplea archivos binarios legítimos de Microsoft, como mshta.exe, para lanzar scripts dañinos, como un VBS altamente ofuscado, mimetizándose con los procesos habituales del sistema.
El malware modifica las entradas de Registro de Windows asociadas a las advertencias de VBA para que macros específicas se ejecuten en distintas aplicaciones de Microsoft Word y Excel sin alertar al usuario. Se establece la persistencia del malware en el sistema a través de tareas programadas que activan el código malicioso cada minuto.
ToddlerShark se dedica a la recolección sistemática de información del sistema de los dispositivos comprometidos, incluyendo:
- Nombre del dispositivo
- Configuración del sistema
- Cuentas de usuario
- Sesiones activas
- Configuración de la red
- Antivirus y otras soluciones de seguridad
- Todas las conexiones de red vigentes
- Listado de procesos activos
- Inventario de programas instalados, revisando ubicaciones de instalación comunes y el menú de inicio de Windows
Finalmente, ToddlerShark encripta los datos sustraídos usando el formato de certificados PEM y los envía a la infraestructura de comando y control (C2) de los atacantes. Esta técnica sofisticada es una marca registrada de las operaciones de ciberespionaje de Kimsuky.
Te podrá interesar: Alianza entre Black Basta y Bl00dy en Ataques con ScreenConnect
Una de las características más destacadas del malware ToddleShark es su capacidad polimórfica, que le permite eludir la detección y complica su análisis. ToddleShark implementa varias estrategias para lograr esta evasión.
En primer lugar, modifica de manera aleatoria las funciones y nombres de las variables dentro de su complejo código VBScript usado en las etapas iniciales de la infección. Esta técnica reduce la eficacia de los métodos de detección estática. Además, incorpora grandes bloques de código hexadecimal codificado, entremezclados con segmentos de código irrelevante, lo que puede hacer que la carga útil del malware se perciba como inofensiva o no ejecutable.
ToddleShark también recurre al uso de cadenas aleatorias y a la reorganización de su código para modificar su estructura y evitar ser detectado por sistemas basados en firmas.
Otra táctica incluye la generación dinámica de URLs para la descarga de componentes adicionales del malware, y el hash de la carga útil inicial descargada desde el servidor de comando y control (C2) es siempre único, lo que inutiliza las técnicas de bloqueo basadas en listas negras convencionales.
Código útil oculto entre fragmentos de datos irrelevantes
La emergencia del malware ToddleShark, explotando vulnerabilidades en ScreenConnect, resalta la constante evolución de las amenazas cibernéticas y la necesidad de estar siempre vigilantes. La implementación de prácticas de seguridad robustas, junto con la educación continua y la adopción de medidas de mitigación adecuadas, son esenciales para protegerse contra estos ataques sofisticados. Mantenerse informado sobre las últimas amenazas y vulnerabilidades es crucial en la lucha contra la ciberdelincuencia, asegurando la integridad y la seguridad de nuestros sistemas y datos en este entorno digital cada vez más complejo.