注意！朝鲜Kimsuky组织利用BlueKeep漏洞，疯狂攻击日韩

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

在网络安全的战场上，威胁总是悄然而至。近日，一个令人不安的消息传来：朝鲜支持的Kimsuky高级持续威胁（APT）组织，正利用2019年出现的BlueKeep漏洞（CVE-2019-0708），发起新一轮恶意攻击，目标直指韩国和日本的众多系统。

一、BlueKeep漏洞“重出江湖”，危险升级

BlueKeep漏洞于2019年首次曝光，它就像一颗隐藏在网络世界的“定时炸弹”，是微软远程桌面协议（RDP）中的一个“蠕虫式”远程代码执行漏洞，一旦被触发，攻击者就能在无需用户交互的情况下，肆意控制目标系统，在全球范围内掀起过一阵网络安全恐慌。当时微软迅速发布补丁，试图堵住这个“危险缺口”。然而，谁也没想到，时隔多年，这个曾经的“网络毒瘤”竟在新的攻击活动中再次现身。

韩国网络安全公司AhnLab在一次深入的入侵调查中，意外发现了Kimsuky组织的恶意行径，将此次行动命名为Larva - 24005。研究人员发现，在被入侵的系统中，存在着BlueKeep漏洞扫描器，如RDPScanner CLI Type和RDPScanner GUI Type，这无疑是攻击者利用该漏洞进行初始入侵的“铁证”。虽然目前尚未发现攻击者真正利用BlueKeep漏洞实施攻击的直接证据，但AhnLab的博客指出，调查中发现了其他恶意手段，如在电子邮件中附带恶意软件文件，并利用微软Office公式编辑器漏洞（CVE-2017-11882）进行传播。

二、Kimsuky组织：网络间谍的“暗黑身影”

Kimsuky组织，也被称为APT43、Velvet Chollima、Black Banshee以及THALLIUM，长期以来在网络安全领域臭名昭著。它作为与朝鲜相关的威胁组织，主要服务于朝鲜的国家利益，开展各类间谍活动。该组织的攻击手段多样且狡猾，常常通过鱼叉式网络钓鱼、利用软件漏洞以及精心设计的社会工程学手段，来获取对目标系统的初始访问权限，就像潜伏在暗处的“幽灵”，随时准备给目标致命一击。

在此次Larva - 24005行动中，Kimsuky组织的攻击手段同样“老辣”。一旦成功进入系统，他们就会使用下载器安装MySpy恶意软件和RDPWrap，并且私自修改系统设置，以实现远程桌面协议（RDP）的访问。MySpy和RDPWrap原本是用于合法渗透测试和管理多个远程会话的Windows工具，但在Kimsuky组织手中，却变成了恶意监控和持续远程入侵的“帮凶”。不仅如此，该组织还在攻击中投放了KimaLogger和RandomQuery等键盘记录器，试图窃取用户的敏感信息，进一步扩大攻击成果。

三、攻击范围广泛，日韩首当其冲

从对攻击基础设施的深入分析来看，Kimsuky组织的“野心”不小，他们的攻击目标广泛分布于全球多个国家，包括韩国、美国、中国、日本、德国、新加坡、南非、荷兰、墨西哥、越南、比利时、英国、加拿大、泰国和波兰等。然而，AhnLab的研究人员目前仅获取到了发送给韩国和日本的网络钓鱼电子邮件样本。据研究人员透露，自2023年10月起，这些威胁行为者就开始对韩国的软件、能源和金融行业展开持续攻击，企图从这些关键领域获取有价值的信息。

为了帮助安全团队及时发现并阻止这些攻击，AhnLab的研究人员还分享了一系列入侵指标（IOCs），包括哈希函数（MD5）、恶意URL以及域名（FQDN）等，以便各机构能够设置有效的检测警报，提前做好防御准备。

BlueKeep漏洞虽然在2019年因其极高的可利用性和严重影响而备受关注，当时的CVSS评分高达9.8（满分10分），但实际上在此之后，它的实际利用案例极为罕见，仅有在2019年11月，也就是该漏洞被修复后的几个月，曾有过一次用于加密货币挖矿的滥用报告。然而，此次Kimsuky组织对BlueKeep漏洞的关注，却给网络安全领域敲响了警钟。毕竟，Kimsuky组织以其创新的混淆技术、极具欺骗性的社会工程学手段以及广泛的间谍攻击活动而闻名，他们对BlueKeep漏洞的利用，可能会引发一系列新的网络安全风险。

在这个网络威胁日益复杂的时代，无论是企业还是个人，都应时刻保持警惕，及时更新系统补丁，加强网络安全防护意识，避免成为网络攻击的“牺牲品”。同时，安全研究人员和相关机构也需要持续关注这些新兴的网络威胁，不断提升应对能力，共同守护网络空间的安全与稳定。 

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：注意！朝鲜Kimsuky组织利用BlueKeep漏洞，疯狂攻击日韩