ScreenConnect 漏洞正被广泛应用于 ToddleShark 恶意软件传播
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
朝鲜黑客组织Kimsuky利用ScreenConnect漏洞投递新型恶意软件ToddleShark,利用身份验证绕过和远程代码执行漏洞获取访问权限。ToddleShark使用微软二进制文件最小化痕迹,执行注册表修改建立持久访问,并窃取数据。该恶意软件具有多态性特征,通过混淆代码和随机字符串改变结构模式,逃避检测。ToddleShark将收集的信息编码成邮件证书并外泄到攻击者的指挥和控制基础设施。
🎯
关键要点
- Kimsuky是一个朝鲜黑客组织,以网络间谍攻击著称。
- 该组织利用ScreenConnect漏洞投递新型恶意软件ToddleShark。
- ToddleShark利用身份验证绕过和远程代码执行漏洞获取访问权限。
- 该恶意软件使用微软二进制文件最小化痕迹,并执行注册表修改以建立持久访问。
- ToddleShark具有多态性特征,通过混淆代码和随机字符串改变结构模式,逃避检测。
- 收集的信息通过编码成邮件证书外泄到攻击者的指挥和控制基础设施。
- ToddleShark是Kimsuky的BabyShark和ReconShark后门的新变种,目标包括政府组织和研究中心。
- 恶意软件通过计划任务定期执行恶意代码,建立持久性。
- ToddleShark收集系统信息,包括主机名、用户账户、网络配置等。
- 该恶意软件的检测难度增加,因其使用随机生成的函数和变量名,以及动态生成的下载URL。
➡️
