Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Cybernews
  3. Artykuł
Powrót

Hakerzy Kimsuky stosują nowe narzędzie RDP

07 luty 2025

Hakerzy Kimsuky stosują nowe narzędzie RDP
Leszczak Katarzyna

Leszczak Katarzyna

Północnokoreańska grupa hakerska Kimsuky opracowała nowe metody zdalnego dostępu do zaatakowanych systemów, wykorzystując zmodyfikowaną wersję narzędzia RDP Wrapper oraz techniki proxy. Odkrycie tej kampanii przez ekspertów ASEC wskazuje na ewolucję strategii stosowanych przez cyberprzestępców.

Ustawa Kamilka

Nowa metoda ataku – zmodyfikowany RDP Wrapper

Kimsuky od lat wykorzystuje zaawansowane techniki infiltracji sieci, jednak ostatnie obserwacje ekspertów wskazują na zmianę podejścia. Grupa nie polega już wyłącznie na standardowych backdoorach, lecz sięga po niestandardowe rozwiązania, które pozwalają jej unikać wykrycia. Wśród narzędzi wykorzystywanych w najnowszych atakach pojawiła się zmodyfikowana wersja RDP Wrapper, umożliwiająca hakerom dostęp do zainfekowanych systemów bez ingerencji w pliki systemowe. Legalna wersja tego narzędzia służy do aktywowania funkcji zdalnego pulpitu w systemach Windows, które domyślnie jej nie obsługują. Kimsuky zmieniło mechanizm eksportu funkcji, co pozwala narzędziu omijać systemy wykrywania zagrożeń. Użycie takiego rozwiązania sprawia, że ruch RDP wygląda na autoryzowany, co znacząco utrudnia wykrycie ataku przez administratorów sieci.

Łańcuch infekcji – od phishingu po pełną kontrolę

Atak rozpoczyna się od wiadomości e-mail typu spear-phishing, zawierającej plik o rozszerzeniu.LNK, który na pierwszy rzut oka przypomina dokument PDF lub Word. Wiadomości te są starannie przygotowane – zawierają prawdziwe dane odbiorcy oraz nazwy firm, co świadczy o wcześniejszym rekonesansie przeprowadzonym przez cyberprzestępców. Po otwarciu pliku zainfekowany system uruchamia skrypt PowerShell lub Mshta, który pobiera kolejne ładunki z zewnętrznego serwera. Wśród nich znajduje się znany już backdoor PebbleDash, a także wspomniany wcześniej zmodyfikowany RDP Wrapper. Dodatkowo hakerzy stosują narzędzia proxy, które pozwalają im nawiązywać połączenia z siecią ofiary nawet w sytuacji, gdy standardowe połączenia RDP są blokowane.

Po uzyskaniu dostępu Kimsuky instaluje kolejne złośliwe oprogramowanie, w tym keylogger rejestrujący naciśnięcia klawiszy oraz złodziej danych, który wyodrębnia zapisane w przeglądarkach informacje uwierzytelniające. Wśród wykorzystywanych narzędzi znajduje się również ReflectiveLoader, umożliwiający ładowanie szkodliwego kodu bez zapisywania go na dysku, co dodatkowo utrudnia wykrycie zagrożenia.

Nowe metody, nowe zagrożenia

Działania Kimsuky pokazują, że grupa stale rozwija swoje metody ataków, dostosowując je do zmieniającego się środowiska zabezpieczeń. Wykorzystanie zmodyfikowanego RDP Wrapper sprawia, że atak jest trudniejszy do wykrycia i pozwala na dłuższą obecność w zaatakowanych sieciach. Administratorzy powinni zwrócić szczególną uwagę na nieautoryzowany ruch RDP oraz wdrożyć dodatkowe środki zabezpieczające, takie jak uwierzytelnianie wieloskładnikowe i monitoring anomalii sieciowych. 

Dobroczynnie NTHW

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności