ScreenConnect漏洞被利用，Kimsuky变种恶意软体ToddlerShark现身

重要信息概览

黑客利用新公布的ScreenConnect漏洞，部署与北韩威胁团体Kimsuky相关的变种恶意软体，名为ToddlerShark。ToddlerShark具有信息窃取功能，能够访问并窃取用户和系统数据。ConnectWise已经针对漏洞推出了安全修补程序，使用ScreenConnect的用户务必及时修补系统，并进行独立的安全评估。

最近，黑客利用刚刚披露的ScreenConnect漏洞，部署了一种新变种的恶意软体，与北韩的威胁团体Kimsuky有关。这款新恶意软体由Kroll的研究人员命名为ToddlerShark，与Kimsuky也称为APT43、Emerald Sleet、Velvet Chollima使用的侦察工具ReconShark和BabyShark有重叠之处。

ConnectWise在上个月披露了两个漏洞并发布了ScreenConnect远端桌面访问软体的安全修补程序。其中一个漏洞被追踪为CVE20241709，其CVSS v3分数最高达到10分，属于最高危险级别。自从这些漏洞被公布以来，数个威胁团体已经利用它们，包含一些使用Play、LockBit等恶意软体的攻击者。

ToddlerShark的隐蔽行动

在Kroll于3月5日的分析报告中，研究人员Keith Wojcieszek、George Glass和Dave Truman表示，Kroll Responder团队检测到一个显示Kimsuky特征的企图入侵并及时阻止了它。

“威胁行为者通过利用ScreenConnect应用程序的暴露设定精灵，获取了受害者工作站的访问权限，然后用cmdexe执行mshtaexe和一个标有Visual Basic (VB)基础的恶意软体的URL。”

此次攻击中部署的ToddlerShark恶意软体“展现出变形行为的元素，例如在代码中改变身份字符串、生成垃圾代码改变代码位置，以及使用独特生成的C2 URL，这使得该恶意软体在某些环境中难以检测，”研究人员指出。

“因此，修补ScreenConnect应用程序显得至关重要。”

Kimsuky精进其信息窃取技能

ToddlerShark的信息窃取能力使其能够窃取数据，包括主机、用户、网络和安全软体信息，以及已安装软体和正在运行的进程。

“Kroll的研究人员表示，一旦工具收集完所有这些信息，它使用内建的Windows命令certutil对被窃信息进行编码，并隐藏在一个隐私增强邮件(PEM)证书中，然后将其外泄到C2网页应用程序。”

“使用PEM文件隐藏外泄数据是一种Kimsuky之前已经使用过的技术。”

免费的翻外墙app下载

在其分析中，Kroll建议ScreenConnect的客户采取多种行动，以保护其系统不受Kimsuky及其他利用新漏洞的威胁团体的攻击。所有运行ScreenConnect版本2397或更早版本的用户应假设他们已受到攻击，并