近期,朝鲜威胁组织 Kimsuky 的网络犯罪活动引发安全研究人员高度关注。该组织竟仍在利用 Windows 远程桌面服务中久未平息的 BlueKeep 漏洞(CVE-2019-0708)发动攻击。尽管微软早在 2019 年便已推出补丁,但 Kimsuky 依旧将此漏洞作为初始突破口,精准锁定尚未修复的目标系统。韩国网络安全公司 AhnLab 将此次攻击命名为 Larva-24005,调查显示,攻击者通过发送特制的 RDP 请求,实现无需身份验证即可在远程系统执行任意代码的恶意操作,虽然部分受感染设备中发现了 RDP 漏洞扫描程序,但尚未证实其是否处于活跃使用状态。
不仅如此,Kimsuky 还将矛头指向另一历史漏洞 CVE-2017-11882,该漏洞存在于 Microsoft Office 公式编辑器组件中。攻击者借助精心设计的恶意电子邮件,以社会工程学手段绕过安全防护,将恶意文件嵌入其中,成功渗透目标系统。一旦得手,便迅速部署 MySpy 恶意软件收集主机环境情报,同时安装 RDPWrap 实用程序篡改远程访问设置,并对系统配置进行修改,搭建持久化通信链路,确保对感染设备的长期控制。在攻击的最后阶段,键盘记录器 KimaLogger 和 RandomQuery 被植入系统,实时记录用户每一次击键,借此窃取登录凭证、消息内容等关键敏感信息,为后续攻击提供支撑。
自 2023 年 10 月起,Kimsuky 的攻击活动在韩国持续升温,能源、金融和软件行业的企业成为重点目标,同时,日本乃至全球多地,包括美国、中国、波兰、南非等国家的机构也纷纷 “中招”。这些早已被修复的漏洞仍在被频繁利用,深刻暴露出受影响机构在软件更新与漏洞管理层面存在的系统性缺陷。这一现状警示我们,即使是过时的漏洞利用手段,在经验老到的攻击者手中,依然可能成为极具破坏力的 “致命武器” 。
原文始发于微信公众号(TtTeam):Kimsuky 集团利用 BlueKeep 开展持续网络攻击活动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论