根据HackerNews编译的文章，网络安全研究人员发现，朝鲜黑客组织Kimsuky利用微软远程桌面服务（RDS）的BlueKeep漏洞（CVE-2019-0708）对日韩重点行业发起新型恶意攻击，该行动被命名为Larva-24005。攻击者除了利用BlueKeep漏洞外，还通过钓鱼邮件和Equation Editor漏洞（CVE-2017-11882）进行渗透，最终部署信息窃取器和键盘记录器。受害者主要集中在韩国软件、能源及金融行业，日本也受到严重影响。文章还提供了详细的技术分析和防御建议。

💻 Kimsuky组织利用BlueKeep漏洞（CVE-2019-0708）进行攻击，该漏洞允许未认证攻击者远程执行代码，进而安装任意程序、访问数据甚至创建具备完全权限的新账户。微软早在2019年5月就发布了补丁修复该漏洞，但攻击者仍然可以利用。

🎣 除了BlueKeep漏洞，攻击者还使用钓鱼邮件作为第二入侵向量，利用Equation Editor漏洞（CVE-2017-11882）触发恶意负载。成功渗透后，部署MySpy信息窃取器及RDPWrap工具，并修改系统配置开启RDP访问权限。

🔑 攻击的最终阶段是投放KimaLogger和RandomQuery等键盘记录器实施按键捕获。自2023年10月以来，主要针对韩国软件、能源及金融行业，日本也受到严重影响，其他已知目标国家包括美国、中国、德国等13国。

🛡️ 文章建议立即验证CVE-2019-0708补丁状态，强化RDP访问控制策略，部署邮件安全网关过滤恶意附件，监控异常RDP连接行为，并定期审计系统日志寻找入侵痕迹。

HackerNews 编译，转载请注明出处：

网络安全研究人员发现，朝鲜国家支持的黑客组织Kimsuky发起了新型恶意攻击，利用微软远程桌面服务（RDS）的BlueKeep漏洞（CVE-2019-0708）对日韩重点行业实施系统渗透。该行动被安实验室安全应急中心（ASEC）命名为Larva-24005。

韩国网络安全公司ASEC披露：“部分系统的初始入侵途径确认为RDP协议漏洞（BlueKeep，CVE-2019-0708）利用。尽管在受控系统发现RDP漏洞扫描工具，但尚未发现实际使用证据。”

技术漏洞分析：

CVE-2019-0708（CVSS评分9.8）是远程桌面服务中的高危可蠕虫漏洞，允许未认证攻击者远程执行代码，进而安装任意程序、访问数据甚至创建具备完全权限的新账户。微软已于2019年5月发布补丁修复该漏洞，但攻击者仍需通过RDP协议向目标系统发送特制请求方可利用。

攻击链扩展分析：

除BlueKeep外，攻击者还采用钓鱼邮件作为第二入侵向量，利用Equation Editor漏洞（CVE-2017-11882，CVSS评分7.8）触发恶意负载。渗透成功后，攻击者部署名为MySpy的信息窃取器及RDPWrap工具，并修改系统配置开启RDP访问权限。

攻击终局阶段：

最终投放KimaLogger和RandomQuery等键盘记录器实施按键捕获。ASEC确认，自2023年10月以来，攻击活动主要针对韩国软件、能源及金融行业，日本同为重灾区。该组织其他已知目标国家包括美国、中国、德国等13国。

防御建议：

1、立即验证CVE-2019-0708补丁状态

2、强化RDP访问控制策略

3、部署邮件安全网关过滤恶意附件

4、监控异常RDP连接行为

5、定期审计系统日志寻找入侵痕迹

据MITRE ATT&CK框架分析，本次攻击活动涉及T1190（漏洞利用）、T1204（用户执行）、T1059（命令执行）等战术阶段，符合APT组织典型作战模式。目前相关IoC指标已纳入主流威胁情报平台。

 

 

---

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络； 

转载请注明“转自 HackerNews.cc”并附上原文