Grupo Kimusky utiliza un RDP Wrapper para comprometer sistemas

Publicado hace 1 mes 27-02-2025

RDP Wrapper es una herramienta de código abierto que permite tener varias sesiones de RDP activas en sistemas que, por defecto, solo permiten una sesión a la vez. Esto resulta muy útil para ciertos usuarios, pero también es aprovechado por actores maliciosos, ya que pueden usar esta herramienta para mantener persistencia y llevar a cabo sus operaciones.

Se ha detectado un grupo de actores maliciosos que hacen uso de RDP Wrapper para llevar a cabo operaciones ilícitas. El grupo en cuestión es Kimusky, un grupo de piratas informáticos respaldado por Corea del Norte y clasificado como una Amenaza Persistente Avanzada (APT).

El modus operandi del grupo consiste en distribuir un archivo de acceso directo (*.LNK) que contiene comandos maliciosos. Este archivo se propaga a través de spear-phishing y, debido a la técnica utilizada y a que los archivos llevan nombres de empresas, se especula que los ataques están dirigidos a objetivos específicos.

El archivo con el shortcut se disfraza como un documento de la paquetería Office y, al ser ejecutado, inicia un proceso de PowerShell que descarga archivos adicionales de fuentes externas. Finalmente, para obtener control del dispositivo infectado, se descargan PebbleDash y RDP Wrapper, ambos modificados por el grupo, pero con similitudes a versiones utilizadas en otros ataques. Además de estas herramientas, también emplean malware como keyloggers, infostealers y proxys.

La razón por la cual utilizan RDP Wrapper es que, en general, las sesiones RDP pasan como legítimas, lo que facilita ocultar su actividad y mantener persistencia en los sistemas comprometidos. Sin embargo, al emplear otras herramientas, pueden dejar rastros, como en el caso del keylogger desplegado, que guarda los registros en las rutas "C:\ProgramData\joeLog.txt" o "C:\ProgramData\jLog.txt", lo que podría facilitar su detección.



Imagen del archivo keylogger [1]

Aunque los ataques parecen estar dirigidos a objetivos específicos, es necesario comprender las herramientas, técnicas y procedimientos que utilizan los actores maliciosos. Kimusky lanza ataques de forma constante y, aunque en su mayoría están dirigidos a usuarios surcoreanos, es importante monitorear sus operaciones para tomar las medidas pertinentes en caso de sufrir un ataque.

Indicadores de Compromiso:

IOC Tipo
04e5f813da28b5975d0b6445f687bc48 MD5
26d96d40e4c8aed03d80740e1d5a4559 MD5
2ea71ff410088bbe79f28e7588a6fb47 MD5
3211ef223177310021e174c928f96bab MD5
5565b337bfba78970b73ae65b95f2c4f MD5
216.219.87.41 IP
74.50.94.175 IP


 

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactor.

Referencias

  1. ASEC. (2025. Febrero 4 Persistent Threats from the Kimsuky Group Using RDP Wrapper. Recuperado el 06 de febrero del 2025 en: https://asec.ahnlab.com/en/86098/
  2. Toulas, B. (2025, Febrero 6) Kimsuky hackers use new custom RDP Wrapper for remote access. Recuperado el 06 de febrero del 2025 en: https://www.bleepingcomputer.com/news/security/kimsuky-hackers-use-new-custom-rdp-wrapper-for-remote-access/

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Grupo RedGolf
Publicado hace 21 horas 25-04-2025

El 23 de marzo de 2023, la firma estadounidense de ciberseguridad Recorded Future alertó sobre la continua actividad del grupo de hackers chinos conocido como RedGolf, presuntamente respaldado por el Estado. Según el informe, este grupo mantiene operaciones activas......

Vulnerabilidad Critica en FortiSwitch
Publicado hace 4 días 22-04-2025

Una nueva vulnerabilidad ha sido descubierta por el equipo interno de Fortinet. Esta vulnerabilidad cuenta con un score CVSS de 9.3, siendo clasificada como de carácter crítico. La vulnerabilidad fue ligada al identificador CVE-2024-48887. Esta CVE afecta a diver......

Ransomware NightSpire
Publicado hace 1 semana 16-04-2025

Con la creciente efectividad de los grupos de ransomware día con día, nuevos grupos se forman para aprovechar esta modalidad, la cual resulta muy lucrativa para los actores maliciosos. También se ha visto que se crean variantes de operaciones más grand......

BOLETINES RECIENTES

...
Grupo RedGolf
Publicado hace 21 horas 25-04-2025
Leer más
...
Vulnerabilidad Critica en FortiSwitch
Publicado hace 4 días 22-04-2025
Leer más
...
Ransomware NightSpire
Publicado hace 1 semana 16-04-2025
Leer más