网络安全研究人员标记了一个与朝鲜国家支持的威胁行为者 Kimsuky 相关的新恶意活动,该活动利用影响 Microsoft 远程桌面服务的现已修补的漏洞来获得初始访问权限。
该活动已被 AhnLab 安全智能中心 (ASEC) 命名为 Larva-24005。
“在某些系统中,初始访问权限是通过利用 RDP 漏洞(BlueKeep,CVE-2019-0708)获得的,”这家韩国网络安全公司表示。“虽然在受感染的系统中发现了 RDP 漏洞扫描程序,但没有证据表明它的实际使用情况。”
CVE-2019-0708(CVSS 评分:9.8)是远程桌面服务中的一个关键可蠕虫漏洞,它可能支持远程代码执行,允许未经身份验证的攻击者安装任意程序、访问数据,甚至创建具有完全用户权限的新帐户。
但是,为了让攻击者利用该漏洞,他们需要通过 RDP 向目标系统远程桌面服务发送特制请求。它由 Microsoft 于 2019 年 5 月修补。
威胁行为者采用的另一种初始访问媒介是使用嵌入文件的网络钓鱼邮件,从而触发另一个已知的方程式编辑器漏洞(CVE-2017-11882,CVSS 评分:7.8)。
获得访问权限后,攻击者除了更改系统设置以允许 RDP 访问外,还继续利用植入器安装称为 MySpy 的恶意软件菌株和称为 RDPWrap 的 RDPWrap 工具。MySpy 旨在收集系统信息。
这次攻击最终导致部署 KimaLogger 和 RandomQuery 等键盘记录器来捕获击键。
据评估,自 2023 年 10 月以来,该活动已发送给韩国和日本的受害者,主要是前者的软件、能源和金融部门。该组织针对的其他一些国家包括美国、中国、德国、新加坡、南非、荷兰、墨西哥、越南、比利时、英国、加拿大、泰国和波兰。
信息来源:https://thehackernews.com/2025/04/kimsuky-exploits-bluekeep-rdp.html
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局