Σύμφωνα με πρόσφατες πληροφορίες, χάκερς από τη Βόρεια Κορέα εκμεταλλεύτηκαν ευπάθειες στο ConnectWise ScreenConnect για να δημιουργήσουν ένα νέο κακόβουλο λογισμικό με την ονομασία TODDLERSHARK.

Αυτό το κακόβουλο λογισμικό, με τις γνωστές παραλλαγές του, BabyShark και ReconShark, αποκτά πρόσβαση μέσω ευάλωτων οδηγών εγκατάστασης. Χρησιμοποιεί το cmd.exe και το mshta.exe για να εγκαταστήσει κακόβουλο λογισμικό βασισμένο σε VB μέσω URL διευθύνσεων.

Οι ευάλωτες εκδόσεις CVE-2024-1708 και CVE-2024-1709 έχουν εκμεταλλευτεί εκτεταμένα από πολλούς παράγοντες απειλών για τη διακίνηση κακόβουλων φορτίων. Η χάκινγκ συμμορία Kimsuky, επίσης γνωστή ως APT43, επεκτείνει τις επιθέσεις της με νέα εργαλεία, όπως το GoBear και το Troll Stealer. Το TODDLERSHARK, ένα παράγωγο του BabyShark, εμφανίζεται σε πολλές μορφές, καθιστώντας την ανίχνευσή του πιο δύσκολη.

Η Εθνική Υπηρεσία Πληροφοριών της Νότιας Κορέας κατηγόρησε τη Βόρεια Κορέα για διείσδυση σε διακομιστές εγχώριων κατασκευαστών ημιαγωγών τον Δεκέμβριο του 2023 και τον Φεβρουάριο του 2024.

Ο σκοπός τους πιθανότατα ήταν η έναρξη παραγωγής ημιαγωγών λόγω κυρώσεων και αυξημένης ζήτησης για ανάπτυξη όπλων. Οι δράστες χρησιμοποίησαν εξελιγμένες τεχνικές για την αποφυγή του εντοπισμού τους, αντί να αποκαλύψουν αμέσως το κακόβουλο λογισμικό.

Η εμφάνιση του κακόβουλου λογισμικού TODDLERSHARK και η σχετική δραστηριότητα από τους χάκερς της Βόρειας Κορέας και όχι μόνο, αποτελούν ένα περίπλοκο στοιχείο στον τομέα της κυβερνοασφάλειας. Οι πρόσφατες επιθέσεις και η χρήση προηγμένων τεχνικών από τις κακόβουλες συμμορίες αποδεικνύουν τη σοβαρότητα της κατάστασης και την αναγκαιότητα για συνεργασία των διεθνών φορέων προκειμένου να αντιμετωπιστούν οι κυβερνοεπιθέσεις.