Šiaurės Korėjos įsilaužimo grupė, žinoma kaip „Kimsuky“, buvo pastebėta pastarojo meto atakose, naudojant pagal užsakymą pagamintą RDP įvyniojimą ir tarpinio serverio įrankius, kad būtų galima tiesiogiai pasiekti užkrėstas mašinas.
Anot kampanijos atradusios Ahnlab Saugumo žvalgybos centro (ASEC), tai yra keičiančios taktikos ženklas Kimsuky.
ASEC sako, kad Šiaurės Korėjos įsilaužėliai dabar naudoja įvairius pritaikytų nuotolinės prieigos įrankių rinkinį, užuot pasikliaudami tik triukšmingais užpakaliniais darbais, tokiais kaip „Pebbledash“, kuris vis dar naudojamas.
Naujausia Kimsuky atakų tinklas
Naujausia infekcijų grandinė prasideda nuo ietimi sklindančio el. Laiško, kuriame yra kenksmingas nuorodos (.LNK) failo priedas, paslėptas kaip PDF ar Word dokumentas.
El. Laiškuose yra gavėjo vardas ir teisingi įmonės pavadinimai, kurie rodo, kad Kimsuky prieš išpuolį atliko žvalgybą.
Atidarius .LNK failą, suaktyvina „PowerShell“ arba „MSHTA“, kad gautumėte papildomų naudingų krovinių iš išorinio serverio, įskaitant:
- „Pebbledash“, žinomas „Kimsuky“ užpakalinis duris, teikiantis pradinę sistemos valdymą.
- Modifikuota atvirojo kodo RDP įvyniojimo įrankio versija, įgalinanti nuolatinę prieigos prie RDP ir saugos priemonių aplinkkelį.
- Proxy įrankiai apeiti privataus tinklo apribojimus, leidžiančius užpuolikams pasiekti sistemą, net kai užblokuojami tiesioginiai RDP jungtys.
Individualus RDP įvyniojimas
RDP įvyniojimas yra teisėtas atvirojo kodo įrankis, skirtas įjungti nuotolinio darbalaukio protokolo (KPP) funkcijas „Windows“ versijose, kurios jos natūraliai nepalaiko, pavyzdžiui, „Windows Home“.
Tai veikia kaip vidurinis sluoksnis, leidžiantis vartotojams įjungti nuotolinio darbalaukio ryšius nekeisdami sistemos failų.
„Kimsuky“ versija pakeitė eksporto funkcijas į apeiti antivirusinę aptikimą ir greičiausiai išskiria savo elgesį pakankamai, kad išvengtų parašo pagrįsto aptikimo.

Šaltinis: ASEC
Pagrindinis pasirinktinio RDP įvyniojimo naudojimo pranašumas yra aptikimo vengimas, nes RDP jungtys dažnai traktuojamos kaip teisėtos, leidžiančios Kimsuky ilgiau likti po radaru.
Be to, jis suteikia patogesnį nuotolinio valdymo pultą GUI, palyginti su „Shell“ prieiga per kenkėjišką programą, ir gali apeiti ugniasienes ar NAT apribojimus per reles, leidžiančias prieigą prie RDP iš išorės.
ASEC praneša, kad kai „Kimsuky“ užsitikrina savo įsitvirtinimą tinkle, jie numeta antrinius naudingus krovinius.
Tai apima klavišą, kuris užfiksuoja klavišų paspaudimus ir saugo juos tekstiniuose failuose sistemos kataloguose, infostealeryje („ForCeCopy“), ištraukiančiame kredencialus, išsaugotus žiniatinklio naršyklėse, ir „PowerShell“ pagrįstą atspindį, kuris įgalina atmintyje esančią naudingą krovinį.
Apskritai, Kimsuky yra nuolatinė ir besivystanti grėsmė ir viena iš produktyviausių Šiaurės Korėjos kibernetinių grėsmių grupių, skirtų žvalgybos rinkimui.
Naujausi ASEC išvados rodo, kad grėsmės veikėjai pereina prie slaptesnių nuotolinės prieigos metodų ilgalaikiam gyvenamosioms laikams kompromituojamuose tinkluose.