Kimsuky APT组织利用 BlueKeep RDP 漏洞对韩国日本发起攻击

研究人员发现与曹县关联的APT组织 Kimsuky 的攻击活动，该组织利用已修补的 Microsoft 远程桌面服务漏洞来获取初始访问权限。

在调查一起安全漏洞时，韩国安博士实验室安全情报中心 (ASEC) 的研究人员发现了与朝鲜有关联的组织Kimsuky的攻击活动，其追踪编号为 Larva-24005。攻击者利用 RDP 漏洞获取了目标系统的初始访问权限。

ASEC 发布的报告中写道：“在某些系统中，初始访问权限是通过利用 RDP 漏洞 (BlueKeep，CVE-2019-0708) 获得的。虽然在受感染的系统中发现了 RDP 漏洞扫描程序，但没有证据表明其被实际使用。”

 “威胁组织还使用其他手段传播恶意软件，例如将同一文件附加到电子邮件中，并利用 Microsoft Office 公式编辑器漏洞 (CVE-2017-11882) 。”

一旦获得系统访问权限，攻击者就会通过安装 MySpy 恶意软件和 RDPWrap 来修改配置，以维持远程访问。

在最后阶段，攻击者部署了 KimaLogger 或 RandomQuery 键盘记录器来记录键盘操作。专家观察到 Kimsuky 从受感染的系统向韩国和日本发送钓鱼邮件。

自2023年9月以来，朝鲜APT组织已将韩国、美国、中国、日本、德国、新加坡和其他多个国家的组织作为目标。他们的活动包括针对韩国和日本的网络钓鱼活动，以及自2023年10月以来对韩国软件、能源和金融部门的攻击。

ASEC 研究人员还发布了此次活动的攻击检测指标 (IoC)。

Kimsuky 网络间谍组织 （又名 ARCHIPELAGO、Black Banshee、Thallium、Velvet Chollima、APT43）于 2013 年首次被卡巴斯基研究人员发现 。

该APT组织主要针对韩国的智库和组织，其他受害者位于美国、欧洲和俄罗斯。

今年 2 月，ASEC 研究人员发现朝鲜的 KimsukyAPT 组织发起了鱼叉式网络钓鱼攻击，以传播 forceCopy 信息窃取恶意软件。

受政府支持的黑客发送鱼叉式网络钓鱼邮件，传播伪装成Office文档的恶意*.LNK快捷方式文件。打开后，他们会执行PowerShell或Mshta脚本，下载 PebbleDash 和RDP Wrapper等恶意软件，以控制受感染的系统。

攻击者使用定制的 RDP Wrapper 来实现远程桌面访问，并可能修改导出功能以逃避检测。

研究人员注意到，威胁组织还安装了代理恶意软件，以实现对位于私人网络中的受感染系统的外部访问。

Kimsuky 组织使用多种文件格式的键盘记录器，包括 PowerShell 脚本。

Kimsuky 还使用 forceCopy 窃取恶意软件来捕获击键并从浏览器目录中提取文件。

技术报告：

https://asec.ahnlab.com/en/87554/

新闻链接：

https://securityaffairs.com/176756/apt/kimsuky-apt-exploited-bluekeep-rdp-flaw-in-attacks-against-south-korea-and-japan.html