Los investigadores de seguridad cibernética han marcado una nueva campaña maliciosa relacionada con el actor de amenaza patrocinado por el estado de Corea del Norte conocido como Kimsuky que explota una vulnerabilidad ahora empatada que afecta los servicios de escritorio remotos de Microsoft para obtener acceso inicial.
La actividad ha sido nombrada Larva-24005 por el Centro de Inteligencia de Seguridad de AhnLab (ASEC).
“En algunos sistemas, el acceso inicial se obtuvo a través de la explotación de la vulnerabilidad RDP (Bluekeep, CVE-2019-0708)”, la Compañía de Ciberseguridad de Corea del Sur dicho. “Si bien se encontró un escáner de vulnerabilidad RDP en el sistema comprometido, no hay evidencia de su uso real”.
CVE-2019-0708 (puntaje CVSS: 9.8) es un error de gusano crítico en servicios remotos de escritorio que podrían habilitar la ejecución de código remoto, permitiendo a los atacantes no autenticados instalar programas arbitrarios, acceder a datos e incluso crear nuevas cuentas con derechos de usuario completos.
Sin embargo, para que un adversario explote el defecto, necesitaría enviar una solicitud especialmente elaborada al servicio de escritorio remoto del sistema de destino a través de RDP. Fue parcheado por Microsoft en mayo de 2019.
Otro vector de acceso inicial adoptado por el actor de amenaza es el uso de Correo de phishing Incrustar archivos que activan otra vulnerabilidad del editor de ecuaciones conocida (CVE-2017-11882, puntaje CVSS: 7.8).
Una vez que se obtiene el acceso, los atacantes proceden a aprovechar un cuentagotas para instalar una cepa de malware denominada MySpy y una herramienta RDPWrap denominada RDPWRAP, además de cambiar la configuración del sistema para permitir el acceso RDP. MySPY está diseñado para recopilar información del sistema.
El ataque culmina en el despliegue de keyloggers como Kimalogger y RandomQuery para capturar pulsaciones de teclas.
Se evalúa que la campaña fue enviada a víctimas en Corea del Sur y Japón, principalmente software, energía y sectores financieros en los primeros desde octubre de 2023. Algunos de los otros países dirigidos por el grupo incluyen Estados Unidos, China, Alemania, Singapur, Sudáfrica, los Países Bajos, México, Vietnam, Belgium, el Reino Unido, Canadá, Thailandand y Poland.
About the Author
