Los investigadores de seguridad cibernética han traumatizado una nueva campaña maliciosa relacionada con el actor de amenaza patrocinado por el estado de Corea del Ideal conocido como Kimsuky que explota una vulnerabilidad ahora empatada que afecta los servicios de escritorio remotos de Microsoft para obtener acercamiento auténtico.
La actividad ha sido nombrada Oruga-24005 por el Centro de Inteligencia de Seguridad de AhnLab (ASEC).
“En algunos sistemas, el acercamiento auténtico se obtuvo explotando la vulnerabilidad de RDP (Bluekeep, CVE-2019-0708)”, dijo la compañía de seguridad cibernética de Corea del Sur. “Si correctamente se encontró un escáner de vulnerabilidad RDP en el sistema comprometido, no hay evidencia de su uso positivo”.
CVE-2019-0708 (CVSS Score: 9.8) es un error de reptil crítico en los servicios de escritorio remotos que podría habilitar la ejecución de código remoto, lo que permite a los atacantes no autorenticados instalar programas arbitrarios, datos de acercamiento e incluso crear nuevas cuentas con derechos de legatario completos.
Sin incautación, para que un adversario explote el defecto, necesitaría remitir una solicitud especialmente elaborada al servicio de escritorio remoto del sistema de destino a través de RDP. Fue parcheado por Microsoft en mayo de 2019.
Otro vector de acercamiento auténtico prohijado por el actor de amenazas es el uso de correos de phishing que integran archivos que desencadenan otra vulnerabilidad conocida del editor de ecuaciones (CVE-2017-11882, puntaje CVSS: 7.8).
Una vez que se obtiene el acercamiento, los atacantes proceden a usar un cuentagotas para instalar una cepa de malware denominada MySpy y una utensilio RDPWrap denominada RDPWRAP, por otra parte de cambiar la configuración del sistema para permitir el acercamiento RDP. MySPY está diseñado para compilar información del sistema.
El ataque culmina en el despliegue de keyloggers como Kimalogger y RandomQuery para capturar pulsaciones de teclas.
Se evalúa que la campaña fue enviada a víctimas en Corea del Sur y Japón, principalmente software, energía y sectores financieros en los primeros desde octubre de 2023. Algunos de los otros países dirigidos por el comunidad incluyen Estados Unidos, China, Alemania, Singapur, Sudáfrica, los Países Bajos, México, Vietnam, Belgium, el Reino Unido, Canadá, Thailandand y Poland.
