ScreenConnect 漏洞正被广泛应用于 ToddleShark 恶意软件传播
原文中文,约1600字,阅读约需4分钟。发表于:。用于下载附加阶段的 URL 是动态生成,从 C2 获取的初始有效载荷的哈希值始终唯一,因此标准的拦截列表方法几乎是无效的。
朝鲜黑客组织Kimsuky利用ScreenConnect漏洞投递新型恶意软件ToddleShark,利用身份验证绕过和远程代码执行漏洞获取访问权限。ToddleShark使用微软二进制文件最小化痕迹,执行注册表修改建立持久访问,并窃取数据。该恶意软件具有多态性特征,通过混淆代码和随机字符串改变结构模式,逃避检测。ToddleShark将收集的信息编码成邮件证书并外泄到攻击者的指挥和控制基础设施。
