Государственно спонсируемая северокорейская группа Kimsuky начала новую кампанию «Larva-24005», в основе которой лежит эксплуатация уязвимости BlueKeep (CVE-2019-0708) в службе Microsoft Remote Desktop Protocol (RDP). Эта уязвимость с рейтингом критичности CVSS 9.8 была исправлена еще в мае 2019 года, однако до сих пор остаётся актуальной из-за недостаточной установки обновлений на стороне жертв. Воздействие BlueKeep позволяет удалённому злоумышленнику без аутентификации выполнить произвольный код, получить полный контроль над системой, устанавливать программы и создавать учетные записи с правами пользователя.
Помимо BlueKeep, в кампании Kimsuky эксплуатируется также уязвимость CVE-2017-11882 в Equation Editor с оценкой CVSS 7.8. Этот вектор атак реализуется через фишинговые письма, в которых содержатся вредоносные вложения, запускающие вредоносный код при открытии.
После успешного проникновения через RDP или фишинг злоумышленники устанавливают набор инструментов, включая малварь MySpy, предназначенную для сбора системной информации, а также утилиту RDPWrap, модифицирующую настройки системы для обеспечения постоянного удаленного доступа. Для сбора данных об активности пользователей применяются кейлоггеры KimaLogger и RandomQuery, фиксирующие каждый нажатый символ.
Основное поражение кампании с октября 2023 года приходится на Южную Корею и Японию. В Южной Корее наиболее часто атакуемые секторы — это программное обеспечение, энергетика и финансовые организации. Однако жертвами становятся и компании из США, Китая, Германии, Сингапура, Южной Африки, Нидерландов, Мексики, Вьетнама, Бельгии, Великобритании, Канады, Таиланда и Польши, что свидетельствует о глобальном размахе кампании.
Корейская компания по кибербезопасности AhnLab Security Intelligence Center (ASEC) присвоила кампании название Larva-24005 и проводит глубокий мониторинг происходящего. Несмотря на известность уязвимости BlueKeep и регулярные рекомендации по обновлению, многие системы остаются незащищенными, что делает возможным подобные атаки.
Интенсивное использование уязвимостей, которые имеют уже готовые исправления, свидетельствует не только о компетентности группы Kimsuky, но и о продолжающемся риске для инфраструктур в регионе и за его пределами. Применение сложного набора инструментов для удаленного доступа и перехвата данных подчёркивает намерение злоумышленников вести длительное скрытное наблюдение и кражу информации.
Используемые методы включают:
Для предотвращения подобных атак необходима своевременная установка патчей безопасности, ограничение открытого доступа по RDP, внедрение многофакторной аутентификации и повышение осведомленности сотрудников о фишинговых угрозах.
Attackers exploiting old but potent flaws, такие как BlueKeep, получают непрерывный доступ к системам целевых организаций, что ставит под угрозу национальную безопасность и коммерческие тайны. Компании и государственные структуры должны активно проводить аудит уязвимостей и обновлять свои средства защиты.
Изображение носит иллюстративный характер
Помимо BlueKeep, в кампании Kimsuky эксплуатируется также уязвимость CVE-2017-11882 в Equation Editor с оценкой CVSS 7.8. Этот вектор атак реализуется через фишинговые письма, в которых содержатся вредоносные вложения, запускающие вредоносный код при открытии.
После успешного проникновения через RDP или фишинг злоумышленники устанавливают набор инструментов, включая малварь MySpy, предназначенную для сбора системной информации, а также утилиту RDPWrap, модифицирующую настройки системы для обеспечения постоянного удаленного доступа. Для сбора данных об активности пользователей применяются кейлоггеры KimaLogger и RandomQuery, фиксирующие каждый нажатый символ.
Основное поражение кампании с октября 2023 года приходится на Южную Корею и Японию. В Южной Корее наиболее часто атакуемые секторы — это программное обеспечение, энергетика и финансовые организации. Однако жертвами становятся и компании из США, Китая, Германии, Сингапура, Южной Африки, Нидерландов, Мексики, Вьетнама, Бельгии, Великобритании, Канады, Таиланда и Польши, что свидетельствует о глобальном размахе кампании.
Корейская компания по кибербезопасности AhnLab Security Intelligence Center (ASEC) присвоила кампании название Larva-24005 и проводит глубокий мониторинг происходящего. Несмотря на известность уязвимости BlueKeep и регулярные рекомендации по обновлению, многие системы остаются незащищенными, что делает возможным подобные атаки.
Интенсивное использование уязвимостей, которые имеют уже готовые исправления, свидетельствует не только о компетентности группы Kimsuky, но и о продолжающемся риске для инфраструктур в регионе и за его пределами. Применение сложного набора инструментов для удаленного доступа и перехвата данных подчёркивает намерение злоумышленников вести длительное скрытное наблюдение и кражу информации.
Используемые методы включают:
- Использование критической уязвимости CVE-2019-0708 для получения первичного доступа без аутентификации;
- Распространение фишинговых писем с внедрением вредоносных файлов, эксплуатирующих CVE-2017-11882;
- Установка малвари MySpy, RDPWrap, и кейлоггеров KimaLogger и RandomQuery для сбора данных и обеспечения постоянного контроля.
Для предотвращения подобных атак необходима своевременная установка патчей безопасности, ограничение открытого доступа по RDP, внедрение многофакторной аутентификации и повышение осведомленности сотрудников о фишинговых угрозах.
Attackers exploiting old but potent flaws, такие как BlueKeep, получают непрерывный доступ к системам целевых организаций, что ставит под угрозу национальную безопасность и коммерческие тайны. Компании и государственные структуры должны активно проводить аудит уязвимостей и обновлять свои средства защиты.
