Peneliti cybersecurity telah menandai kampanye jahat baru terkait dengan aktor ancaman yang disponsori negara Korea Utara yang dikenal sebagai Kimsuky yang mengeksploitasi kerentanan yang sekarang ditonton yang berdampak pada layanan desktop jarak jauh Microsoft untuk mendapatkan akses awal.
Aktivitas telah dinamai Larva-24005 oleh Ahnlab Security Intelligence Center (ASEC).
“Dalam beberapa sistem, akses awal diperoleh melalui mengeksploitasi kerentanan RDP (BlueKeep, CVE-2019-0708),” kata perusahaan cybersecurity Korea Selatan. “Sementara pemindai kerentanan RDP ditemukan dalam sistem yang dikompromikan, tidak ada bukti penggunaan aktualnya.”
CVE-2019-0708 (skor CVSS: 9.8) adalah bug cacing kritis dalam layanan desktop jarak jauh yang dapat memungkinkan eksekusi kode jarak jauh, memungkinkan penyerang yang tidak diautentikasi untuk menginstal program sewenang-wenang, mengakses data, dan bahkan membuat akun baru dengan hak pengguna penuh.
Namun, agar musuh untuk mengeksploitasi cacat, mereka perlu mengirim permintaan yang dibuat khusus ke layanan desktop jarak jauh sistem target melalui RDP. Itu ditambal oleh Microsoft pada Mei 2019.
Vektor akses awal lainnya yang diadopsi oleh aktor ancaman adalah penggunaan file embedding surat phishing yang memicu kerentanan editor persamaan lain yang diketahui (CVE-2017-11882, skor CVSS: 7.8).
Setelah akses diperoleh, para penyerang melanjutkan untuk memanfaatkan penetes untuk memasang strain malware yang dijuluki MySpy dan alat RDPWRAP yang disebut sebagai RDPWRAP, di samping mengubah pengaturan sistem untuk memungkinkan akses RDP. MySpy dirancang untuk mengumpulkan informasi sistem.
Serangan ini memuncak dalam penyebaran Keyloggers seperti Kimalogger dan RandomQuery untuk menangkap penekanan tombol.
Kampanye ini dinilai telah dikirim ke para korban di Korea Selatan dan Jepang, terutama sektor perangkat lunak, energi, dan keuangan di yang pertama sejak Oktober 2023. Beberapa negara lain yang ditargetkan oleh kelompok tersebut termasuk Amerika Serikat, Cina, Jerman, Singapura, Afrika Selatan, Belanda, Meksiko, Vietnam, Belgia, Inggris, Kanada, dan Thailand, dan Thailand.
