Los investigadores de seguridad cibernética han marcado una nueva campaña maliciosa relacionada con el actor de amenaza patrocinado por el estado de Corea del Norte conocido como Kimsuky que explota una vulnerabilidad ahora empatada que afecta los servicios de escritorio remotos de Microsoft para obtener acceso inicial.
La actividad ha sido nombrada Larva-24005 por el Centro de Inteligencia de Seguridad de AhnLab (ASEC).
«En algunos sistemas, el acceso inicial se obtuvo explotando la vulnerabilidad de RDP (Bluekeep, CVE-2019-0708)», dijo la compañía de seguridad cibernética de Corea del Sur. «Si bien se encontró un escáner de vulnerabilidad RDP en el sistema comprometido, no hay evidencia de su uso real».
CVE-2019-0708 (CVSS Score: 9.8) es un error de gusano crítico en los servicios de escritorio remotos que podría habilitar la ejecución de código remoto, lo que permite a los atacantes no autorenticados instalar programas arbitrarios, datos de acceso e incluso crear nuevas cuentas con derechos de usuario completos.
Sin embargo, para que un adversario explote el defecto, necesitaría enviar una solicitud especialmente elaborada al servicio de escritorio remoto del sistema de destino a través de RDP. Fue parcheado por Microsoft en mayo de 2019.
Otro vector de acceso inicial adoptado por el actor de amenazas es el uso de correos de phishing que integran archivos que desencadenan otra vulnerabilidad conocida del editor de ecuaciones (CVE-2017-11882, puntaje CVSS: 7.8).
Una vez que se obtiene el acceso, los atacantes proceden a aprovechar un cuentagotas para instalar una cepa de malware denominada MySpy y una herramienta RDPWrap denominada RDPWRAP, además de cambiar la configuración del sistema para permitir el acceso RDP. MySPY está diseñado para recopilar información del sistema.
El ataque culmina en el despliegue de keyloggers como Kimalogger y RandomQuery para capturar pulsaciones de teclas.
Se evalúa que la campaña fue enviada a víctimas en Corea del Sur y Japón, principalmente software, energía y sectores financieros en los primeros desde octubre de 2023. Algunos de los otros países dirigidos por el grupo incluyen Estados Unidos, China, Alemania, Singapur, Sudáfrica, los Países Bajos, México, Vietnam, Belgium, el Reino Unido, Canadá, Thailandand y Poland.