Kimsuky e Larva-24005: Cybercriminali Nordcoreani sfruttano vecchie vulnerabilità per attacchi devastanti in tutto il mondo

News
Visite: 17

Recentemente, è emersa una campagna malevola orchestrata dal gruppo di cybercriminali sponsorizzato dallo stato nordcoreano noto come Kimsuky, che sfrutta una vulnerabilità ormai risolta dei Servizi Desktop Remoto di Microsoft per ottenere accesso iniziale ai sistemi. Questa attività è stata denominata "Larva-24005" dall'AhnLab Security Intelligence Center (ASEC). Secondo ASEC, l'accesso iniziale in alcuni sistemi è stato ottenuto sfruttando la vulnerabilità RDP conosciuta come BlueKeep (CVE-2019-0708), anche se non ci sono prove dell'effettivo utilizzo di uno scanner di vulnerabilità RDP trovato nel sistema compromesso.

Il CVE-2019-0708 è un bug critico di tipo wormable nei Servizi Desktop Remoto, che consente l'esecuzione di codice remoto. Questo potrebbe permettere agli aggressori non autenticati di installare programmi arbitrari, accedere a dati e creare nuovi account con pieni diritti utente. Per sfruttare il difetto, un avversario deve inviare una richiesta opportunamente formattata al servizio Remote Desktop del sistema target tramite RDP. Microsoft ha risolto questa vulnerabilità a maggio 2019.

Un altro vettore di accesso iniziale adottato dagli aggressori è l'utilizzo di email di phishing contenenti file che attivano un'altra nota vulnerabilità dell'Equation Editor (CVE-2017-11882). Una volta ottenuto l'accesso, gli attaccanti utilizzano un dropper per installare un malware chiamato MySpy e un tool denominato RDPWrap, oltre a modificare le impostazioni di sistema per permettere l'accesso RDP. MySpy è progettato per raccogliere informazioni di sistema.

L'attacco culmina con il dispiegamento di keylogger come KimaLogger e RandomQuery per catturare le sequenze di tasti. Si stima che la campagna abbia preso di mira vittime in Corea del Sud e Giappone, soprattutto nei settori software, energetico e finanziario in Corea del Sud, a partire da ottobre 2023. Tra gli altri paesi presi di mira dal gruppo ci sono Stati Uniti, Cina, Germania, Singapore, Sud Africa, Paesi Bassi, Messico, Vietnam, Belgio, Regno Unito, Canada, Thailandia e Polonia.

Pin It
, , , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta