{"id":1680946,"date":"2025-04-21T17:39:26","date_gmt":"2025-04-21T17:39:26","guid":{"rendered":"https:\/\/teknomers.com\/es\/kimsuky-explota-la-vulnerabilidad-de-bluekeep-rdp-a-los-sistemas-de-violacion-en-corea-del-sur-y-japon\/"},"modified":"2025-04-21T17:39:31","modified_gmt":"2025-04-21T17:39:31","slug":"kimsuky-explota-la-vulnerabilidad-de-bluekeep-rdp-a-los-sistemas-de-violacion-en-corea-del-sur-y-japon","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/kimsuky-explota-la-vulnerabilidad-de-bluekeep-rdp-a-los-sistemas-de-violacion-en-corea-del-sur-y-japon\/","title":{"rendered":"Kimsuky explota la vulnerabilidad de Bluekeep RDP a los sistemas de violaci\u00f3n en Corea del Sur y Jap\u00f3n"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>21 de abril de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Malware \/ vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de seguridad cibern\u00e9tica han marcado una nueva campa\u00f1a maliciosa relacionada con el actor de amenaza patrocinado por el estado de Corea del Norte conocido como Kimsuky que explota una vulnerabilidad ahora empatada que afecta los servicios de escritorio remotos de Microsoft para obtener acceso inicial.<\/p>\n

La actividad ha sido nombrada Larva-24005<\/strong> por el Centro de Inteligencia de Seguridad de AhnLab (ASEC).<\/p>\n

“En algunos sistemas, el acceso inicial se obtuvo a trav\u00e9s de la explotaci\u00f3n de la vulnerabilidad RDP (Bluekeep, CVE-2019-0708)”, la Compa\u00f1\u00eda de Ciberseguridad de Corea del Sur dicho<\/a>. “Si bien se encontr\u00f3 un esc\u00e1ner de vulnerabilidad RDP en el sistema comprometido, no hay evidencia de su uso real”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

CVE-2019-0708 (puntaje CVSS: 9.8) es un error de gusano cr\u00edtico<\/a> en servicios remotos de escritorio que podr\u00edan habilitar la ejecuci\u00f3n de c\u00f3digo remoto, permitiendo a los atacantes no autenticados instalar programas arbitrarios, acceder a datos e incluso crear nuevas cuentas con derechos de usuario completos.<\/p>\n

Sin embargo, para que un adversario explote el defecto, necesitar\u00eda enviar una solicitud especialmente elaborada al servicio de escritorio remoto del sistema de destino a trav\u00e9s de RDP. Fue parcheado por Microsoft en mayo de 2019.<\/p>\n

\"Vulnerabilidad<\/a><\/div>\n

Otro vector de acceso inicial adoptado por el actor de amenaza es el uso de Correo de phishing<\/a> Incrustar archivos que activan otra vulnerabilidad del editor de ecuaciones conocida (CVE-2017-11882, puntaje CVSS: 7.8).<\/p>\n

Una vez que se obtiene el acceso, los atacantes proceden a aprovechar un cuentagotas para instalar una cepa de malware denominada MySpy y una herramienta RDPWrap denominada RDPWRAP, adem\u00e1s de cambiar la configuraci\u00f3n del sistema para permitir el acceso RDP. MySPY est\u00e1 dise\u00f1ado para recopilar informaci\u00f3n del sistema.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El ataque culmina en el despliegue de keyloggers como Kimalogger y RandomQuery para capturar pulsaciones de teclas.<\/p>\n

Se eval\u00faa que la campa\u00f1a fue enviada a v\u00edctimas en Corea del Sur y Jap\u00f3n, principalmente software, energ\u00eda y sectores financieros en los primeros desde octubre de 2023. Algunos de los otros pa\u00edses dirigidos por el grupo incluyen Estados Unidos, China, Alemania, Singapur, Sud\u00e1frica, los Pa\u00edses Bajos, M\u00e9xico, Vietnam, Belgium, el Reino Unido, Canad\u00e1, Thailandand y Poland.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n