I ricercatori della sicurezza informatica hanno segnalato una nuova campagna dannosa legata all’attore delle minacce sponsorizzate dallo stato nordcoreano noto come Kimsuky Ciò sfrutta una vulnerabilità ormai abbagliata che influisce sui servizi desktop remoti Microsoft per ottenere l’accesso iniziale.
L’attività è stata nominata Larva-24005 da Ahnlab Safety Intelligence Middle (ASEC).
“In alcuni sistemi, è stato ottenuto l’accesso iniziale sfruttando la vulnerabilità RDP (Bluekeep, CVE-2019-0708)”, la società di sicurezza informatica sudcoreana disse. “Mentre nel sistema compromesso è stato trovato uno scanner di vulnerabilità RDP, non vi è alcuna evidenza del suo uso effettivo.”
CVE-2019-0708 (Punteggio CVSS: 9,8) è un bug wormable critico Nei servizi desktop remoti in grado di consentire l’esecuzione del codice remoto, consentendo agli aggressori non autenticati di installare programmi arbitrari, accedere ai dati e persino creare nuovi account con i diritti degli utenti completi.
Tuttavia, affinché un avversario possa sfruttare il difetto, dovrebbero inviare una richiesta appositamente realizzata al servizio desktop remoto del sistema di destinazione tramite RDP. È stato patchato da Microsoft a maggio 2019.
Un altro vettore di accesso iniziale adottato dall’attore di minaccia è l’uso di Mail di phishing Incorporamento di file che scatenano un’altra vulnerabilità dell’editor di equazioni conosciuta (CVE-2017-11882Punteggio CVSS: 7.8).
Una volta ottenuto l’accesso, gli aggressori procedono a sfruttare un contagocce per installare una tensione malware soprannominata MySpy e uno strumento RDPWRAP indicato come RDPWRAP, oltre a modificare le impostazioni del sistema per consentire l’accesso a RDP. MySpy è progettato per raccogliere informazioni sul sistema.
L’attacco culmina nello spiegamento di keylogger come Kimalogger e RandomQuery per catturare tasti.
Si valuta che la campagna sia stata inviata alle vittime in Corea del Sud e Giappone, principalmente software program, energia e settori finanziari nel primo dall’ottobre 2023. Alcuni degli altri paesi presi di mira dal gruppo includono Stati Uniti, Cina, Germania, Singapore, Sudafrica, Paesi Bassi, Messico, Vietnam, Belgium, Regno Unito, Canada, Thailandia e Polonia.
