22/04/25
Киберпреступная кампания, связанная с северокорейской группировкой Kimsuky, вновь привлекла внимание исследователей благодаря использованию давно известной, но всё ещё опасной уязвимости BlueKeep (CVE-2019-0708) в службе удалённого рабочего стола Windows. Несмотря на то, что Microsoft устранила эту брешь ещё в 2019 году, атакующие продолжают находить системы, где она остаётся незащищённой, получая через неё начальный доступ, пишет Securitylab.
Аналитики южнокорейской компании AhnLab дали атаке название Larva-24005. В ряде зафиксированных случаев Kimsuky получали контроль над машинами, направляя специально сформированные запросы через RDP, позволяющие выполнить произвольный код на удалённой машине без предварительной аутентификации. Хотя на некоторых скомпрометированных устройствах был найден сканер уязвимостей RDP, доказательств его активного использования пока нет.
В дополнение к BlueKeep злоумышленники применяют другую старую уязвимость — CVE-2017-11882, связанную с компонентом Equation Editor в Microsoft Office. Рассылка вредоносных писем с вложенными файлами позволяет им обходить меры защиты и проникать в целевые системы через социальную инженерию.
После получения доступа на устройства внедряется вредонос MySpy, предназначенный для сбора информации об окружении системы, а также утилита RDPWrap, позволяющая активировать или модифицировать удалённый доступ. Дополнительно вносятся изменения в настройки ОС, открывающие постоянный канал для управления заражённым устройством.
Заключительная фаза атаки включает установку кейлогеров KimaLogger и RandomQuery, фиксирующих каждое нажатие клавиш. Таким образом, атакующие могут перехватывать учётные данные, переписки и другую чувствительную информацию, необходимую для дальнейших операций.
Наибольшая активность кампании фиксируется в Южной Корее с октября 2023 года, где атакам подверглись организации из сфер энергетики, финансов и софта. Также под ударом оказались структуры в Японии, а география затронутых стран значительно шире — от США и Китая до Польши и Южной Африки.
Факт продолжительного использования устранённых уязвимостей говорит о системных проблемах с обновлением ПО и управлением уязвимостями в инфраструктурах жертв. Это делает даже старые эксплойты эффективным оружием в руках опытных противников, таких как Kimsuky.
