曾在6年前引發大規模攻擊的漏洞BlueKeep(CVE-2019-0708,CVSS風險為9.8分),當時駭客引發全球各地藍色當機畫面(BSOD)災情,如今傳出一年半前又有人使用這項漏洞從事攻擊行動,直到最近才被公開。
資安業者AhnLab揭露北韓駭客發起的攻擊行動Larva-24005,被稱做Kimsuky、APT43、Emerald Sleet、TA427、Velvet Chollima的駭客組織,透過遠端桌面連線(RDP)軟體的資安弱點BlueKeep滲透受害組織,得逞後部署惡意軟體MySpy、RDPWrap,建立能夠持續存取的管道。這些駭客也側錄受害者鍵盤輸入的內容,來進行後續的監控。
這波攻擊主要針對韓國的軟體、能源、金融產業而來,駭客自2023年10月開始,對韓國及日本寄送釣魚信來接觸受害者。AhnLab根據駭客的基礎設施進行分析,攻擊行動很可能從2023年9月就已經進行,而且,駭客攻擊的範圍相當廣,不光是韓國及日本,還包括了美國、中國、德國、新加坡、南非、荷蘭、墨西哥、越南、比利時、英國、加拿大、泰國、波蘭。
對於整起事故發生的過程,研究人員推測Kimsuky主要是透過BlueKeep取得初始入侵管道,但除此之外,他們也看到駭客運用其他的手法來達到目的,例如:使用釣魚郵件挾帶特定檔案,或是觸發Office方程式編輯器漏洞CVE-2017-11882(風險值為7.8)。
一旦成功取得初始入侵管道,這些駭客就會運用惡意軟體載入工具,部署MySpy、RDPwarp,並竄改系統組態,開放RDP連線存取。最終駭客會在受害電腦植入KimaLogger或RandomQuery等側錄工具,收集使用者鍵盤輸入的內容。
熱門新聞
2025-05-22
2025-05-19
2025-05-19
2025-05-19
2025-05-20
2025-05-20
2025-05-20