Οι Βορειοκορεάτες κρατικοί hackers Kimsuky εκμεταλλεύονται μια ευπάθεια (έχει επιδιορθωθεί) που επηρεάζει τα Remote Desktop Services (RDP) της Microsoft. Η εκμετάλλευση γίνεται για την απόκτηση αρχικής πρόσβασης στο σύστημα-στόχο.
Η δραστηριότητα έχει ονομαστεί Larva-24005 από το AhnLab Security Intelligence Center (ASEC).
“Σε ορισμένα συστήματα, η αρχική πρόσβαση αποκτήθηκε μέσω της εκμετάλλευσης της ευπάθειας RDP (BlueKeep, CVE-2019-0708)”, δήλωσε η νοτιοκορεατική εταιρεία κυβερνοασφάλειας για τις επιθέσεις της ομάδας Kimsuky. “Ενώ βρέθηκε ένας σαρωτής ευπαθειών RDP στο παραβιασμένο σύστημα, δεν υπάρχουν στοιχεία για την πραγματική χρήση του“.
Δείτε επίσης: Βορειοκορεάτες hackers “ανέβασαν” spyware στο Google Play
Η ευπάθεια CVE-2019-0708 (βαθμολογία CVSS: 9,8) στο Remote Desktop Services θα μπορούσε να ενεργοποιήσει τη δυνατότητα για απομακρυσμένη εκτέλεση κώδικα, επιτρέποντας σε μη εξουσιοδοτημένους εισβολείς να εγκαταστήσουν αυθαίρετα προγράμματα, να αποκτήσουν πρόσβαση σε δεδομένα και να δημιουργήσουν νέους λογαριασμούς με πλήρη δικαιώματα χρήστη.
Ωστόσο, για να είναι δυνατή η εκμετάλλευση, θα πρέπει να σταλεί ένα ειδικά διαμορφωμένο αίτημα στο σύστημα προορισμού Remote Desktop Service μέσω RDP. Αξίζει να σημειωθεί ότι οι hackers εκμεταλλεύονται την ευπάθεια, ενώ έχει διορθωθεί από τη Microsoft, από τον Μάιο του 2019. Ωστόσο, οι πρόσφατες επιθέσεις δείχνουν ότι κάποια συστήματα παραμένουν ευάλωτα.
Επίσης, οι ερευνητές παρατήρησαν ότι οι hackers Kimsuky χρησιμοποιούν και phishing emails, σε κάποιες περιπτώσεις, τα οποία ενσωματώνουν αρχεία που ενεργοποιούν μια άλλη γνωστή ευπάθεια του Equation Editor (CVE-2017-11882, βαθμολογία CVSS: 7,8).
Δείτε επίσης: ByBit hack: Οι Βορειοκορεάτες hackers έχουν ξεπλύνει τουλάχιστον $ 300 εκατ.
Μόλις αποκτηθεί πρόσβαση, οι εισβολείς προχωρούν στη χρήση ενός dropper για να εγκαταστήσουν ένα malware που ονομάζεται MySpy και ένα εργαλείο RDPWrap που αναφέρεται ως RDPWrap. Ταυτόχρονα, αλλάζουν τις ρυθμίσεις του συστήματος για να επιτρέψουν την πρόσβαση RDP. Το MySpy έχει σχεδιαστεί για να συλλέγει πληροφορίες συστήματος.
Η επίθεση κορυφώνεται με την ανάπτυξη keylogger όπως το KimaLogger και το RandomQuery.
Εκτιμάται ότι η εκστρατεία των hackers Kimsuky στοχεύει θύματα στη Νότια Κορέα και την Ιαπωνία, κυρίως σε τομείς λογισμικού, ενέργειας και χρηματοοικονομικών (από τον Οκτώβριο του 2023).
Μερικές από τις άλλες χώρες που στοχεύει η ομάδα περιλαμβάνουν τις Ηνωμένες Πολιτείες, την Κίνα, τη Γερμανία, τη Σιγκαπούρη, τη Νότια Αφρική, την Ολλανδία, το Μεξικό, το Βιετνάμ, το Βέλγιο, το Ηνωμένο Βασίλειο, τον Καναδά, την Ταϊλάνδη και την Πολωνία.
Δείτε επίσης: Microsoft: Βορειοκορεάτες χάκερ συμμετέχουν στη συμμορία ransomware Qilin
Η προστασία από κακόβουλα λογισμικά, όπως τα παραπάνω, είναι πολύ σημαντική για τη διασφάλιση της ασφάλειας του υπολογιστή σας και των προσωπικών σας δεδομένων. Ακολουθούν μερικά βασικά βήματα που μπορείτε να ακολουθήσετε για να προστατευτείτε από malware:
- Ενημερώστε τα προγράμματα και το λειτουργικό σύστημα
- Χρησιμοποιήστε αξιόπιστο antivirus/antimalware
- Αποφύγετε τη λήψη αμφίβολων αρχείων και συνδέσμων
- Χρησιμοποιήστε τείχος προστασίας (firewall)
- Προσοχή στις αναβαθμίσεις λογισμικού
- Αξιολόγηση των δικαιωμάτων εφαρμογών και επεκτάσεων
- Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης και επαλήθευση δύο παραμέτρων (2FA)
Πηγή: thehackernews.com
 της Microsoft.){kind=link}