Siber güvenlik araştırmacıları, Kimuky olarak bilinen Kuzey Kore devlet destekli tehdit aktörüyle ilgili olarak, Microsoft uzak masaüstü hizmetlerini ilk erişim elde etmek için etkileyen şimdi daplanmış bir güvenlik açığından yararlanan yeni bir kötü niyetli kampanyayı işaretlediler.
Etkinlik adlandırıldı Larva-24005 Ahnlab Güvenlik İstihbarat Merkezi (ASEC) tarafından.
Güney Kore siber güvenlik şirketi, “Bazı sistemlerde, RDP güvenlik açığından (Blueeps, CVE-2019-0708) yararlanarak ilk erişim elde edildi.” Dedi. Diyerek şöyle devam etti: “Geri ihlal edilen sistemde bir RDP güvenlik açığı tarayıcısı bulunurken, gerçek kullanımına dair bir kanıt yok.”
CVE-2019-0708 (CVSS Puanı: 9.8) uzaktan masaüstü hizmetlerinde, uzaktan kod yürütmesini sağlayabilen ve kimlik doğrulanmamış saldırganların keyfi programlar yüklemesine, hatta tam kullanıcı haklarına sahip yeni hesaplar oluşturmasına olanak tanıyan kritik bir solucan hatasıdır.
Bununla birlikte, bir düşmanın kusurdan yararlanabilmesi için, RDP aracılığıyla hedef sistem uzak masaüstü hizmetine özel hazırlanmış bir istek göndermeleri gerekir. Mayıs 2019’da Microsoft tarafından yamalandı.
Tehdit oyuncusu tarafından benimsenen bir başka başlangıç erişim vektörü, bilinen başka bir denklem düzenleyicisi güvenlik açığını tetikleyen dosyaları gömen kimlik avı postalarının kullanılmasıdır (CVE-2017-11882, CVSS puanı: 7.8).
Erişim kazanıldıktan sonra, saldırganlar, RDP erişimine izin vermek için sistem ayarlarını değiştirmenin yanı sıra, MySpy olarak adlandırılan bir kötü amaçlı yazılım suşu ve RDPWRAP olarak adlandırılan bir RDPWRAP aracı kurmak için bir damlalıktan yararlanmaya devam eder. MySpy, sistem bilgilerini toplamak için tasarlanmıştır.
Saldırı, tuş vuruşlarını yakalamak için Kimalogger ve Randomquery gibi keylogger’ların konuşlandırılmasıyla sonuçlanır.
Kampanya, Ekim 2023’ten bu yana eskisinden eskisi de Güney Kore ve Japonya’daki kurbanlara gönderildiği değerlendiriliyor. Grubun hedeflediği diğer ülkelerden bazıları ABD, Singapur, Güney Afrika, Hollanda, Meksika, Vietnam, Beljyum, Birleşik Krallık, Kanada, Thailand ve Polonya’yı içeriyor.