L’utilisation de scanners de vulnérabilité RDP suggère que Bluekeep est utilisé pour obtenir un accès initial aux cibles sud-coréennes et japonaises.
Le tristement célèbre faille bleue de 2019, suivi comme CVE-2019-0708, est revenu pour hanter les professionnels de la sécurité comme des rapports de surface de violence fraîche et in-the-wild.
Le défaut RCE dangereux et «verbalable» affectant le protocole de bureau à distance de Microsoft (RDP) a été exploité dans une nouvelle campagne par Kimsuky Apt, soutenu par la Corée du Nord, ciblant des systèmes sud-coréens et japonais vulnérables.
La société sud-coréenne de cybersécurité Ahnlab a détecté la campagne lors d’une enquête sur les violations. « Le Ahnlab Security Intelligence Center (ASEC) a découvert une nouvelle opération liée au groupe Kimsuky et l’a nommée Larva-24005 », ont déclaré des chercheurs dans un article de blog. «Les acteurs de la menace ont exploité la vulnérabilité du RDP pour infiltrer le système (affecté par les violations).»
Kimsuky (alias APT43, Velvet Chollima, Black Banshee et Thallium) est un groupe de menaces principalement connu pour les activités d’espionnage alignées sur les intérêts de l’État de la Corée du Nord. Les vecteurs communs utilisés par ce groupe pour l’accès initial comprennent les défauts de Spear-Phishingsoftware et l’ingénierie sociale.
BlueKeep a été maltraité pour un accès initial
Au cours de leur enquête, les chercheurs ont pu trouver des scanners de vulnérabilité bleue dans le système compromis, indiquant l’utilisation du défaut pour l’accès initial. Les outils de scanner détectés incluent le type CLI RDPScanner et le type d’interface graphique RDPScanner.
Cependant, l’enquête n’a révélé aucune preuve de l’utilisation réelle de Bluekeep par les acteurs de la menace. D’autres méthodes, telles que la connexion de fichiers de logiciels malveillants aux e-mails et les plantation de la vulnérabilité de l’éditeur d’équation de Microsoft Office (CVE-2017-11882) ont été observées, a noté le blog.
« Après avoir accédé au système, l’acteur de menace a utilisé un compte-gouttes pour installer MySpy Malware et RDPWRAP, et a modifié les paramètres du système pour permettre l’accès RDP », a déclaré les chercheurs.
MySpy et RDPWRAP sont des outils Windows légitimes utilisés pour les tests de stylo et l’exécution de sessions distantes simultanées, respectivement, mais sont populaires par les acteurs de la menace pour une surveillance non autorisée et un accès à distance persistant.
Outre la persistance, la campagne Larva-24005 a été considérée comme une baisse, comme des charges utiles finales, des logiciels malveillants comme Kimalogger et RandomQuery KeyLoggers.
La campagne a ciblé la Corée du Sud et le Japon
Sur la base de l’analyse de l’infrastructure de campagne, les acteurs de la menace ont attaqué la Corée du Sud, les États-Unis, la Chine, le Japon, l’Allemagne, Singapour, l’Afrique du Sud, les Pays-Bas, le Mexique, le Vietnam, la Belgique, le Royaume-Uni, le Canada, la Thaïlande et la Pologne.
Cependant, les chercheurs d’Ahnlab n’ont pu récupérer que des échantillons d’e-mails de phishing envoyés en Corée du Sud et au Japon. « Ces acteurs de menace attaquent les industries des logiciels, de l’énergie et des finances de la Corée du Sud depuis octobre 2023 », ont déclaré les chercheurs.
En tant qu’indicateurs de compromis (CIO), les chercheurs ont partagé une liste des fonctions de hachage (MD5), URL et noms de domaine (FQDN) pour lesquels les équipes de sécurité peuvent définir des alertes de détection.
Bien que Buzzy pour sa forte exploitabilité et son impact, avec CVSS 9,8 sur 10, la faille Bluekeep n’a presque pas d’historique d’exploitation, avec un seul signalé en novembre 2019, des mois après le fait que la faille a été fixée en mai, à des fins de crypto-exploitation. La plus grande préoccupation, cependant, est que le défaut attire l’attention de Kimsuky, un groupe approprié tristement célèbre pour ses techniques d’obscurcissement créatives, convaincant des campagnes d’ingénierie sociale et des attaques d’espionnage généralisées.
