СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16.04.2025
#ИБ

Группа KIMSUKY: Угрозы кибербезопасности через уязвимости RDP

Группа KIMSUKY: Угрозы кибербезопасности через уязвимости RDP

Источник: asec.ahnlab.com

Аналитический центр безопасности AhnLab (AhnLab ASEC) обнаружил новую хакерскую операцию, связанную с группой KIMSUKY, известной как Larva-24005. Данная операция нацелена на устранение уязвимостей в протоколе удаленного рабочего стола (RDP), особенно уязвимости BlueKeep (CVE-2019-0708).

Тактика и методология атак

Первоначальное проникновение хакеров достигается путем эксплуатации известных уязвимостей, что позволяет группе KIMSUKY:

  • Изменять системные настройки;
  • Устанавливать вредоносное ПО MySPY;
  • Использовать RDPWRAP для поддержания постоянного удаленного доступа.

Кроме того, зараженные системы подвержены воздействию кейлоггера, который перехватывает ввод данных с клавиатуры пользователя, что способствует краже и утечке конфиденциальной информации.

География атак

С октября 2023 года группа KIMSUKY активно участвует в атаках на различные секторы Южной Кореи, включая:

  • Программное обеспечение;
  • Энергетику;
  • Финансы.

Также известны случаи атак на японские компании. Масштабы злонамеренной активности группы расширились на международный уровень, с сообщениями о кибератаках из различных стран, таких как:

  • Южная Африка;
  • Нидерланды;
  • Мексика;
  • Великобритания.

Стратегии вторжений

Группа KIMSUKY использует фишинговые электронные письма как один из основных инструментов для облегчения своих атак. Судебно-медицинский анализ уязвимых систем выявил несколько направлений, включая:

  • Использование сканеров уязвимостей RDP;
  • Потенциальные способы распространения через уязвимости Microsoft Office (CVE-2017-11882).

Технические детали атак

Получив доступ, хакеры развертывают программу-дроппер для установки вредоносного ПО и изменения системных конфигураций для использования RDP. Финальный этап атаки часто включает:

  • Использование клавиатурных шпионов, таких как Kimalogger или Randomquery для сбора конфиденциальных данных.

Несмотря на детализированную инфраструктуру атаки, оперативные файлы, такие как ATK.TXT и Sea.txt, не были получены в ходе расследования.

Риски и угрозы

Инструменты сканирования уязвимостей RDP, задействованные в операции, имеют пользовательский интерфейс, считывающий IP-адреса из текстовых файлов и генерирующий результаты, хранящиеся в RDP_RESULT.TXT. Тем не менее, точные методы первоначального взлома остаются неопределенными.

Кибербезопасность остается под угрозой, и действия группы KIMSUKY подчеркивают сложность и многообразие современных киберугроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: