近期曝光的与朝鲜威胁行为者 Kimsuky相关的网络攻击活动,正在精准地利用旧有漏洞,危害极大。韩国网络安全公司 AhnLab 已确认,该攻击活动名为Larva-24005,主要针对韩国和日本的软件、能源和金融行业,利用的是微软远程桌面协议 (RDP)和微软 Office 组件中已知的漏洞。
Kimsuky 攻击活动的关键要点:
被利用的漏洞:
- BlueKeep (CVE-2019-0708):一个CVSS 评级为 9.8 的严重 RDP 漏洞,允许远程代码执行。尽管该漏洞已于2019 年 5 月得到修复,但尚未修复的系统仍然面临高风险。
- 公式编辑器漏洞(CVE-2017-11882):通过包含陷阱文档的网络钓鱼电子邮件使用,使攻击者能够在受害者的系统上运行恶意代码。
初始访问策略:
- 在一些受感染的系统上检测到了RDP 漏洞扫描程序的使用。
- 带有恶意附件的网络钓鱼电子邮件也被用来获取访问权限。
后开发工具:
- 部署MySpy恶意软件是为了收集详细的系统信息。
- RDPWrap用于启用和操纵 RDP 访问,即使在未设计允许它的系统上也是如此。
- 键盘记录器(KimaLogger 和 RandomQuery)记录受害者输入的所有内容。
目标国家:
- 主要受害者:韩国和日本
- 其他目标包括:美国、德国、中国、新加坡、英国、加拿大、越南、波兰、墨西哥、南非等。
原文始发于微信公众号(KK安全说):Kimsuky利用 BlueKeep 入侵亚洲系统赛
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论