Pesquisadores de cibersegurança identificaram uma nova campanha maliciosa relacionada ao ator de ameaças patrocinado pelo estado norte-coreano conhecido como Kimsuky, que explora uma vulnerabilidade já corrigida que afeta os Microsoft Remote Desktop Services para obter acesso inicial.
A atividade foi nomeada Larva-24005 pelo AhnLab Security Intelligence Center (ASEC).
"Em alguns sistemas, o acesso inicial foi obtido por meio da exploração da vulnerabilidade RDP (BlueKeep,
CVE-2019-0708
)", disse a empresa sul-coreana de cibersegurança.
Embora um scanner de vulnerabilidade RDP tenha sido encontrado no sistema comprometido, não há evidências de seu uso real.
CVE-2019-0708
(pontuação CVSS: 9.8) é um bug crítico explorável por worms nos Remote Desktop Services que pode permitir a execução remota de código, permitindo a atacantes não autenticados instalar programas arbitrários, acessar dados e até criar novas contas com plenos direitos de usuário.
No entanto, para que um adversário explore a falha, ele precisaria enviar uma solicitação especialmente elaborada ao serviço Remote Desktop do sistema alvo via RDP.
Foi corrigido pela Microsoft em maio de 2019.
Outro vetor de acesso inicial adotado pelo ator de ameaça é o uso de e-mails de phishing contendo arquivos que acionam outra vulnerabilidade conhecida do Equation Editor (
CVE-2017-11882
, pontuação CVSS: 7.8).
Uma vez obtido o acesso, os atacantes prosseguem para utilizar um dropper para instalar uma cepa de malware chamada MySpy e uma ferramenta RDPWrap referida como RDPWrap, além de alterar configurações do sistema para permitir acesso RDP.
O MySpy é projetado para coletar informações do sistema.
O ataque culmina com o deployment de keyloggers como KimaLogger e RandomQuery para capturar as teclas digitadas.
A campanha foi avaliada por ter sido enviada a vítimas na Coreia do Sul e Japão, principalmente nos setores de software, energia e finanças no primeiro desde outubro de 2023.
Alguns dos outros países alvo do grupo incluem Estados Unidos, China, Alemanha, Singapura, África do Sul, Países Baixos, México, Vietnã, Bélgica, Reino Unido, Canadá, Tailândia e Polônia.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...