El grupo Kimsuky aprovecha la vulnerabilidad BlueKeep en RDP para infiltrarse en sistemas de Corea del Sur y Japón.
Publicado enAtaques

El grupo Kimsuky aprovecha la vulnerabilidad BlueKeep en RDP para infiltrarse en sistemas de Corea del Sur y Japón.

No hay comentarios

Kimsuky explota la vulnerabilidad BlueKeep en RDP para ataques dirigidos

Investigadores de ciberseguridad han identificado una nueva campaña maliciosa asociada al grupo de amenazas patrocinado por Corea del Norte, conocido como Kimsuky. Este actor de amenaza está aprovechando una vulnerabilidad ya parcheada en los Servicios de Escritorio Remoto (RDS) de Microsoft para obtener acceso inicial a sistemas objetivo. La actividad ha sido denominada “Larva-24005” por el AhnLab Security Intelligence Center (ASEC). Fuente original.

Detalles técnicos de la explotación

La vulnerabilidad en cuestión es CVE-2019-0708, también conocida como BlueKeep, que afecta a los protocolos de Escritorio Remoto (RDP) en versiones antiguas de Windows, incluyendo Windows 7, Windows Server 2008 R2 y Windows Server 2008. Esta falla permite la ejecución remota de código sin autenticación, lo que la convierte en un vector de ataque altamente peligroso.

Según los análisis de ASEC, Kimsuky ha estado utilizando esta vulnerabilidad para:

  • Obtener acceso inicial a sistemas vulnerables sin requerir credenciales.
  • Desplegar cargas maliciosas diseñadas para el robo de información sensible.
  • Establecer persistencia en las redes comprometidas mediante herramientas de acceso remoto.

Metodología de ataque de Kimsuky

El grupo Kimsuky, conocido por sus operaciones de espionaje avanzado, sigue una metodología de ataque bien estructurada:

  • Reconocimiento: Identificación de sistemas con RDP expuesto y vulnerables a BlueKeep.
  • Explotación: Uso de exploits públicos o modificados para comprometer los sistemas.
  • Ejecución: Despliegue de malware personalizado para recopilar datos y mantener el acceso.
  • Movimiento lateral: Expansión dentro de la red objetivo utilizando herramientas como Mimikatz o PowerShell scripts.

Implicaciones de seguridad

A pesar de que Microsoft lanzó parches para BlueKeep en mayo de 2019, muchos sistemas siguen sin actualizarse, lo que los hace vulnerables a este tipo de ataques. Las organizaciones que aún utilizan versiones no soportadas de Windows son particularmente susceptibles.

Las consecuencias de un compromiso exitoso incluyen:

  • Robo de información confidencial y propiedad intelectual.
  • Posibilidad de ataques ransomware o de destrucción de datos.
  • Uso de los sistemas comprometidos como puente para ataques a terceros.

Recomendaciones de mitigación

Para protegerse contra estos ataques, se recomienda:

  • Aplicar inmediatamente los parches de Microsoft para CVE-2019-0708 en todos los sistemas afectados.
  • Restringir el acceso a los puertos RDP (típicamente 3389) mediante firewalls.
  • Implementar autenticación multifactor para conexiones remotas.
  • Monitorizar el tráfico de red en busca de intentos de explotación de BlueKeep.
  • Considerar la migración a versiones soportadas de Windows si se utilizan sistemas obsoletos.

Conclusión

El resurgimiento de ataques que explotan BlueKeep, especialmente por parte de grupos avanzados como Kimsuky, subraya la importancia crítica de mantener los sistemas actualizados y aplicar medidas de seguridad proactivas. Las organizaciones deben priorizar la remediación de vulnerabilidades conocidas, particularmente aquellas con explotación pública y potencial impacto severo.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta