Kimsuky 集团利用 BlueKeep 开展持续网络攻击活动

admin 2025年5月26日13:46:45评论18 views字数 800阅读2分40秒阅读模式
Kimsuky 集团利用 BlueKeep 开展持续网络攻击活动

近期,朝鲜威胁组织 Kimsuky 的网络犯罪活动引发安全研究人员高度关注。该组织竟仍在利用 Windows 远程桌面服务中久未平息的 BlueKeep 漏洞(CVE-2019-0708)发动攻击。尽管微软早在 2019 年便已推出补丁,但 Kimsuky 依旧将此漏洞作为初始突破口,精准锁定尚未修复的目标系统。韩国网络安全公司 AhnLab 将此次攻击命名为 Larva-24005,调查显示,攻击者通过发送特制的 RDP 请求,实现无需身份验证即可在远程系统执行任意代码的恶意操作,虽然部分受感染设备中发现了 RDP 漏洞扫描程序,但尚未证实其是否处于活跃使用状态。

不仅如此,Kimsuky 还将矛头指向另一历史漏洞 CVE-2017-11882,该漏洞存在于 Microsoft Office 公式编辑器组件中。攻击者借助精心设计的恶意电子邮件,以社会工程学手段绕过安全防护,将恶意文件嵌入其中,成功渗透目标系统。一旦得手,便迅速部署 MySpy 恶意软件收集主机环境情报,同时安装 RDPWrap 实用程序篡改远程访问设置,并对系统配置进行修改,搭建持久化通信链路,确保对感染设备的长期控制。在攻击的最后阶段,键盘记录器 KimaLogger 和 RandomQuery 被植入系统,实时记录用户每一次击键,借此窃取登录凭证、消息内容等关键敏感信息,为后续攻击提供支撑。

自 2023 年 10 月起,Kimsuky 的攻击活动在韩国持续升温,能源、金融和软件行业的企业成为重点目标,同时,日本乃至全球多地,包括美国、中国、波兰、南非等国家的机构也纷纷 “中招”。这些早已被修复的漏洞仍在被频繁利用,深刻暴露出受影响机构在软件更新与漏洞管理层面存在的系统性缺陷。这一现状警示我们,即使是过时的漏洞利用手段,在经验老到的攻击者手中,依然可能成为极具破坏力的 “致命武器” 。

原文始发于微信公众号(TtTeam):Kimsuky 集团利用 BlueKeep 开展持续网络攻击活动

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月26日13:46:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Kimsuky 集团利用 BlueKeep 开展持续网络攻击活动https://cn-sec.com/archives/4094337.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息