{"id":7922,"date":"2025-04-24T13:10:32","date_gmt":"2025-04-24T11:10:32","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7922"},"modified":"2025-04-24T13:10:32","modified_gmt":"2025-04-24T11:10:32","slug":"rdp-u-opasnosti-kimsuky-apt-koristi-bluekeep-ranjivost","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2025\/04\/24\/rdp-u-opasnosti-kimsuky-apt-koristi-bluekeep-ranjivost\/","title":{"rendered":"RDP u opasnosti: Kimsuky APT koristi BlueKeep ranjivost"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Ponovno kori\u0161tenje <em>BlueKeep<\/em> <em>RDP<\/em> ranjivosti podiglo je uzbunu unutar sajber bezbjednosne zajednice, o \u010demu svjedo\u010de nedavni napadi koji se pripisuju <a href=\"https:\/\/sajberinfo.com\/en\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">naprednoj trajnoj prijetnji<\/a> (eng. <em>advanced persistent threat \u2013 APT<\/em>) grupi <em>Kimsuky<\/em> koju podr\u017eava Sjeverna Koreja. Iskori\u0161tavanje <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2019-0708\" target=\"_blank\" rel=\"noopener\"><em>CVE-2019-0708<\/em><\/a> od strane ovog <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog aktera<\/a> nagla\u0161ava stalnu prijetnju koju predstavljaju ranjivosti koje nisu a\u017eurirane i nagla\u0161ava potrebu za proaktivnim bezbjednosnim mjerama kako bi se sprije\u010dio po\u010detni pristup.<\/span><\/p>\n<div id=\"attachment_7923\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7923\" class=\"size-full wp-image-7923\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/04\/Kimsuky-APT-uses-BlueKeep-RDP.jpg\" alt=\"Kimsuky APT uses BlueKeep RDP\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/04\/Kimsuky-APT-uses-BlueKeep-RDP.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/04\/Kimsuky-APT-uses-BlueKeep-RDP-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/04\/Kimsuky-APT-uses-BlueKeep-RDP-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/04\/Kimsuky-APT-uses-BlueKeep-RDP-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/04\/Kimsuky-APT-uses-BlueKeep-RDP-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/04\/Kimsuky-APT-uses-BlueKeep-RDP-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/04\/Kimsuky-APT-uses-BlueKeep-RDP-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7923\" class=\"wp-caption-text\"><em>RDP u opasnosti: Kimsuky APT koristi BlueKeep ranjivost; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2025\/04\/24\/rdp-u-opasnosti-kimsuky-apt-koristi-bluekeep-ranjivost\/#ISKORISTAVANJE_RDP_RANJIVOSTI\">ISKORI\u0160TAVANJE RDP RANJIVOSTI<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2025\/04\/24\/rdp-u-opasnosti-kimsuky-apt-koristi-bluekeep-ranjivost\/#BlueKeep\">BlueKeep<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2025\/04\/24\/rdp-u-opasnosti-kimsuky-apt-koristi-bluekeep-ranjivost\/#Kimsuky_APT\">Kimsuky APT<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2025\/04\/24\/rdp-u-opasnosti-kimsuky-apt-koristi-bluekeep-ranjivost\/#Kampanja_Larva-24005\">Kampanja Larva-24005<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"http:\/\/sajberinfo.com\/en\/2025\/04\/24\/rdp-u-opasnosti-kimsuky-apt-koristi-bluekeep-ranjivost\/#Eksploatacija\">Eksploatacija<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"http:\/\/sajberinfo.com\/en\/2025\/04\/24\/rdp-u-opasnosti-kimsuky-apt-koristi-bluekeep-ranjivost\/#Softveri_za_pracenje_korisnickog_unosa\">Softveri za pra\u0107enje korisni\u010dkog unosa<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"http:\/\/sajberinfo.com\/en\/2025\/04\/24\/rdp-u-opasnosti-kimsuky-apt-koristi-bluekeep-ranjivost\/#Mehanizam_postojanosti\">Mehanizam postojanosti<\/a><\/li><\/ul><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"http:\/\/sajberinfo.com\/en\/2025\/04\/24\/rdp-u-opasnosti-kimsuky-apt-koristi-bluekeep-ranjivost\/#UTICAJ\">UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"http:\/\/sajberinfo.com\/en\/2025\/04\/24\/rdp-u-opasnosti-kimsuky-apt-koristi-bluekeep-ranjivost\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"http:\/\/sajberinfo.com\/en\/2025\/04\/24\/rdp-u-opasnosti-kimsuky-apt-koristi-bluekeep-ranjivost\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"ISKORISTAVANJE_RDP_RANJIVOSTI\"><\/span><strong>ISKORI\u0160TAVANJE<em> RDP <\/em>RANJIVOSTI<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>AhnLab Security Intelligence Center <\/em>(<em>ASEC<\/em>) je <a href=\"https:\/\/asec.ahnlab.com\/en\/87554\/\" target=\"_blank\" rel=\"noopener\">otkrio sofisticiranu kampanju<\/a> koja je dobila naziv \u201c<em>Larva-24005<\/em>\u201d, koju su uspjeli povezati sa ozlogla\u0161enom <em>Kimsuky APT<\/em> grupom koja je dugo vremena povezana sa ciljanim napadima na interese Ju\u017ene Koreje. Otkrivena kampanja aktivno iskori\u0161tava kriti\u010dne ranjivosti u protokolu za udaljenu radnu povr\u0161inu (eng. <em>remote desktop protocol \u2013 RDP<\/em>) za kompromitovanje sistema u vi\u0161e sektora, uklju\u010duju\u0107i razvoj softvera, energetika i finansije i zemalja, uklju\u010duju\u0107i Ju\u017enu Koreju, SAD, Kinu, Japan, Njema\u010dku, Singapur, Ju\u017enu Afriku, Holandiju, Meksiko, Vijetnam, Belgiju, Veliku Britaniju, Kanadu, Tajland i Poljsku.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"BlueKeep\"><\/span><strong><em>BlueKeep<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>BlueKeep <\/em>ranjivost, tako\u0111e poznata po svojoj zvani\u010dnoj oznaci <em>CVE-2019-0708<\/em>, otkrivena je 2019. godine. Ova kriti\u010dna ranjivost uti\u010de na protokol za udaljenu radnu povr\u0161inu (<em>RDP<\/em>), \u0161to ga \u010dini glavnom metom za zlonamjerne aktere koji tra\u017ee po\u010detni pristup sistemima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>BlueKeep<\/em> ranjivost omogu\u0107ava zlonamjernom akteru da izvr\u0161i proizvoljan k\u00f4d na cijanom sistemu jednostavnim slanjem posebno kreiranih paketa za udaljenu radnu povr\u0161inu (<em>RDP<\/em>). To zna\u010di da svaka <em>Windows<\/em> ma\u0161ina bez primjene ispravke sa omogu\u0107enom udaljenom radnom povr\u0161inom (<em>RDP<\/em>) mo\u017ee biti eksploatisana, \u0161to mo\u017ee dovesti do potpunog ugro\u017eavanja sistema i njegovih podataka. Cilj zlonamjernih aktera je \u010desto uspostavljanje postojanosti kroz instaliranje <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> ili primjene softvera za <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\">tajni pristup<\/a> (eng. <em>backdoor<\/em>) za budu\u0107e kori\u0161tenje. Iako je kompanija <em>Microsoft<\/em> objavila sigurnosno a\u017euriranje za ovu ranjivost u maju 2019. godine, sistemi koji nisu a\u017eurirani su i dalje ranjivi na ovu vrstu napada.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Kimsuky_APT\"><\/span><strong><em>Kimsuky<\/em> <em>APT<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">U domenu <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a>, napredne trajne prijetnje (<em>APT<\/em>) su sofisticirane grupe koje se bave ciljanim napadima na mete visoke vrijednosti. Jedna takva grupa je <em>Kimsuky<\/em>, tako\u0111e poznat kao <em>APT43<\/em>, <em>Velvet<\/em> <em>Chollima<\/em>, <em>Black<\/em> <em>Banshee<\/em> i <em>THALLIUM<\/em>. Ova zlonamjerna grupa koju podr\u017eava Sjeverna Koreja povezan je sa \u0161pijunskim aktivnostima koje su u skladu sa dr\u017eavnim interesima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Kimsuky<\/em> APT grupa funkcioni\u0161e tako \u0161to iskori\u0161tava ranjivosti u softveru i sistemima da bi dobila po\u010detni pristup. Njen arsenal podrazumijeva <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/spear-phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>spear-phishing<\/em><\/a> napade, taktike dru\u0161tvenog in\u017eenjeringa i iskori\u0161tavanje nedostataka u aplikacijama kao \u0161to su <em>Microsoft<\/em> <em>Office<\/em> i udaljena radna povr\u0161ina (<em>RDP<\/em>). Poznato je da grupa koristi prilago\u0111ene alate za zlonamjerni softver, kao \u0161to je <em>RDP<\/em> <em>Wrapper<\/em>, da omogu\u0107i pristup udaljenoj radnoj povr\u0161ini (<em>RDP<\/em>) i izbjegne otkrivanje.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Kampanja_Larva-24005\"><\/span><strong>Kampanja <em>Larva-24005<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Po\u010detni vektor pristupa koji koriste zlonamjerni akteri u ovoj kampanji varira u zavisnosti od ciljnog sistema. Upotreba <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>elektronske po\u0161te kao po\u010detnog vektora napada je primjetna u ovoj kampanji kod \u017ertava u Ju\u017enoj Koreji i Japanu koje su primale zlonamjerne poruke od nekih sistema kori\u0161\u0107enih u napadu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Za napade zasnovane na protokolu za udaljenu radnu povr\u0161inu (<em>RDP<\/em>), zlonamjerni akteri su koristili specijalizovane alate za skeniranje da identifikuju ranjive sisteme koji se mogu daljinski eksploatisati. Ovi skeneri su dizajnirani da pove\u0107aju efikasnost i pru\u017eaju \u0161iroke mogu\u0107nosti za identifikaciju potencijalnih ciljeva.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedan zna\u010dajan aspekt ovih skenera udaljenu radnu povr\u0161inu (<em>RDP<\/em>) je njihovo postojanje u varijantama komandne linije (<em>CLI<\/em>) i grafi\u010dkog okru\u017eenja (<em>GUI<\/em>). Verzija sa grafi\u010dkim okru\u017eenjem nudi niz naprednih funkcija, uklju\u010duju\u0107i mogu\u0107nost specificiranja <em>IP<\/em> opsega, pode\u0161avanja vremenskih ograni\u010denja veze i kori\u0161\u0107enje opcija za vi\u0161e procesa. Ovo omogu\u0107ava zlonamjernim akterima da brzo skeniraju velike mre\u017ee u potrazi za ranjivim sistemima, \u0161to olak\u0161ava identifikaciju potencijalnih meta.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Eksploatacija\"><\/span><strong>Eksploatacija<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Kada do\u0111e do uspje\u0161ne eksploatacije, softver za ubacivanje (eng. <em>dropper<\/em>) kreira i izvr\u0161ava i <em>MySpy<\/em> zlonamjerni softver za prikupljanje informacija i komponente <em>RDPWrap<\/em> na kompromitovanom sistemu. Primarna funkcija <em>MySpy<\/em> zlonamjernog softvera je prikupljanje osjetljivih sistemskih informacija, koje zlonamjerni akteri mogu koristiti za dalje zlonamjerne aktivnosti ili prodati na ilegalnim internet tr\u017ei\u0161tima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>RDPWrap<\/em>, s druge strane, manipuli\u0161e sistemskim postavkama <em>Windows<\/em> operativnog sistema kako bi omogu\u0107io udaljene veze \u010dak i kada bi takva funkcionalnost ina\u010de bila ograni\u010dena. Ovo omogu\u0107ava zlonamjernim akterima da zadr\u017ee postojan pristup kompromitovanim sistemima tokom vi\u0161estrukih ponovnih pokretanja i osigurava da njihov skup alata ostane aktivan tokom ciklusa napada.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Softveri_za_pracenje_korisnickog_unosa\"><\/span><strong>Softveri za pra\u0107enje korisni\u010dkog unosa<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">U zavr\u0161noj fazi ovog lanca infekcije, zlonamjerni akteri primjenjuju ili <em>KimaLogger<\/em> ili <em>RandomQuery<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/01\/keyloggers\/\" target=\"_blank\" rel=\"nofollow noopener\">softvere za pra\u0107enje korisni\u010dkog unosa<\/a> (eng. <em>keyloggers<\/em>) na inficiranim sistemima. Ovi zlonamjerni alati su dizajnirani da prate unose korisnika u realnom vremenu, omogu\u0107avaju\u0107i zlonamjernim akterima da prikupe osjetljive informacije kao \u0161to su podaci za prijavu i brojevi kreditnih kartica. Ovi podaci se zatim mogu koristiti za dalju finansijsku dobit ili prodati na ilegalnim internet tr\u017ei\u0161tima.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Mehanizam_postojanosti\"><\/span><strong>Mehanizam postojanosti<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Da bi odr\u017eali postojanost tokom ponovnog pokretanja sistema, zlonamjerni akteri mijenjaju <em>Windows<\/em> sistemske registre pod klju\u010dem za automatsko pokretanje sistemskih procesa. Ovo osigurava da njihov skup alata ostaje aktivan \u010dak i nakon ponovnog pokretanja, \u0161to im omogu\u0107ava da nastave da prikupljaju osjetljive informacije i odr\u017eavaju daljinski pristup ugro\u017eenim sistemima.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Aktivnosti <em>Kimsuky<\/em> APT grupe koje iskori\u0161tavaju ranjivost <em>BlueKeep<\/em> predstavljaju ozbiljnu prijetnju, naro\u010dito u Ju\u017enoj Koreji i Japanu. Zlonamjerni akteri koriste ovu ranjivost udaljene radne povr\u0161inu (<em>RDP<\/em>) kao po\u010detni vektor napada, omogu\u0107avaju\u0107i im da infiltriraju sisteme, instaliraju zlonamjerne komponente i uspostave trajnu kontrolu nad kompromitovanim ure\u0111ajima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Me\u0111utim, posljedice ove kampanje daleko nadma\u0161uju pojedina\u010dne incidente kompromitacije. Masovna eksploatacija <em>BlueKeep<\/em> ranjivosti izaziva duboku zabrinutost zbog mogu\u0107nosti \u0161irenja napada kroz povezane mre\u017ee, stvaraju\u0107i ozbiljan rizik od sistemske \u0161tete. Ovo se posebno odnosi na organizacije koje se oslanjaju na protokol udaljene radne povr\u0161ine (<em>RDP<\/em>) radi podr\u0161ke radu na daljinu ili upravljanja kriti\u010dnim sistemima, gdje ovi napadi predstavljaju zna\u010dajnu bezbjednosnu prijetnju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">S obzirom na \u0161iroku primjenu protokola udaljene radne povr\u0161ine (<em>RDP<\/em>) u poslovnim okru\u017eenjima, on postaje idealna meta za zlonamjerne aktere koji \u017eele da pristupe povjerljivim informacijama ili naru\u0161e rad klju\u010dnih infrastrukturnih sistema.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Iz svega iznad navedenog, nemogu\u0107e je da se ne primijeti zabrinjavaju\u0107i trend u tehnikama i taktikama <em>Kimsuky<\/em> <em>APT<\/em> grupe. Iskori\u0161\u0107avanje <em>BlueKeep<\/em> <em>RDP<\/em> ranjivosti (<em>CVE-2019-0708<\/em>) je samo jedan primjer kako ova grupa povezana sa Sjevernom Korejom nastavlja da razvija svoje metode za dobijanje po\u010detnog pristupa ciljnim sistemima. Kombinovanjem zastarelih ranjivosti sa modernim <em>spear-phishing <\/em>napadima uz upotrebu nekoliko varijanti zlonamjernog softvera, <em>Kimsuky<\/em> APT grupa je pokazala jasan fokus na postizanje postojanosti i izbjegavanju otkrivanja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedan aspekt koji se isti\u010de je <em>Kimsuky<\/em> <em>APT<\/em> strate\u0161ki fokus na prikupljanje podataka za prijavu i dugoro\u010dnu \u0161pijuna\u017eu, o \u010demu svjedo\u010di integracija softvera za pra\u0107enje korisni\u010dkog unosa i kradljivaca sistemskih informacija u njihovom arsenalu. Ovaj prora\u010dunati pristup podvla\u010di jasno razumijevanje me\u0111u dr\u017eavno sponzorisanim akterima kao \u0161to je ova grupa: iskori\u0161tavanje ranjivosti za maksimalnu korist zahteva vi\u0161e od pukog tehni\u010dkog umije\u0107a \u2013 zahteva intimno poznavanje ljudske psihologije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Analiza kampanje <em>Larva-24005<\/em> samo potvr\u0111uje da \u0107e dr\u017eavno sponzorisani akteri kao \u0161to je <em>Kimsuky<\/em> <em>APT<\/em> nastaviti da iskori\u0161tavaju ranjivosti softverskih sistema za svoju li\u010dnu korist. Zbog toga je od su\u0161tinskog zna\u010daja za organizacije i pojedince da daju prioritet mjerama sajber bezbjednosti, uklju\u010duju\u0107i redovna a\u017euriranja, ispravke i dijeljenje obavje\u0161tajnih podataka o prijetnjama. Na ovaj na\u010din je mogu\u0107e zajedni\u010dki smanjiti rizik od toga da se postane \u017ertva ovih vrsta napada.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Evo preporuka o tome kako da se za\u0161tititi od ranjivosti <em>BlueKeep<\/em> <em>RDP<\/em> koje koristi <em>Kimsuky<\/em> <em>APT <\/em>grupa:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Uvjeriti se da su svi sistemi, posebno oni koji koriste <em>Microsoft Remote Desktop Services<\/em> (<em>RDS<\/em>), a\u017eurirani sa ispravkom za <em>CVE-2019-0708<\/em> i za sve druge poznate ranjivosti. Redovno a\u017eurirati operativne sisteme, aplikacije i upravlja\u010dki softver kako bi se sprije\u010dilo iskori\u0161\u0107avanje otkrivenih ranjivosti;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Vr\u0161ite redovne bezbjednosne revizije da bi se identifikovale potencijalne slabosti mre\u017ene infrastrukture, uklju\u010duju\u0107i protokol udaljene radne povr\u0161ine (<em>RDP<\/em>). Koristiti alate za skeniranje ranjivosti kako bi se identifikovale ranjivosti i kako bi se mogle pru\u017eiti preporuke za njihovo otklanjanje;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ograni\u010dite pristup kriti\u010dnim sistemima koji koriste <em>RDS<\/em> primjenom strogih smjernica za autentifikaciju i autorizaciju. Uvjeriti se da samo ovla\u0161\u0107eno osoblje ima privilegije udaljene radne povr\u0161ine (<em>RDP<\/em>) i razmislite o kori\u0161\u0107enju autentifikacije u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>) da bi se pobolj\u0161ala bezbjednost;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Konfigurisati usluge udaljene radne povr\u0161ine (<em>RDP<\/em>) najnovijim a\u017euriranjima i pratite najbolje prakse za obezbje\u0111enje veza, kao \u0161to je omogu\u0107avanje provjere autenti\u010dnosti na nivou mre\u017ee (eng. <em>Network Level Authentication \u2013 NLA<\/em>), onemogu\u0107avanje anonimnog pristupa i konfigurisanje pravila za\u0161titnog zida za ograni\u010davanje dolaznog saobra\u0107aja na portu <em>3389<\/em>;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Segmentirati mre\u017eu na manje, izolovane zone da bi se ograni\u010dilo \u0161irenje potencijalnog zlonamjernog softvera u slu\u010daju da zlonamjerni akter dobije pristup kori\u0161\u0107enjem <em>BlueKeep<\/em> <em>RDP <\/em> Ovo \u0107e pomo\u0107i u spre\u010davanju <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">bo\u010dnog kretanja<\/a> (eng. <em>lateral movement<\/em>) i smanjenju <a href=\"https:\/\/sajberinfo.com\/en\/2023\/03\/24\/povrsina-napada-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">povr\u0161ine napada<\/a>;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati napredne sisteme za otkrivanje prijetnji koji mogu da identifikuju anomalno pona\u0161anje koje ukazuje na poku\u0161aje eksploatacije ili druge zlonamjerne aktivnosti koje ciljaju usluge udaljene radne povr\u0161ine (<em>RDP<\/em>);<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Razviti efikasan <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plan odgovora na sajber prijetnju<\/a> kako bi se brzo odgovorili na potencijalne bezbjednosne incidente, uklju\u010duju\u0107i one koji se odnose na zloupotrebe <em>BlueKeep<\/em> <em>RDP. <\/em> Osigurati da je svo osoblje obu\u010deno o procedurama i protokolima navedenim u ovom planu;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Sprovoditi redovno penetracijsko testiranje i vje\u017ebe crvenog tima anga\u017eovanjem spoljnih stru\u010dnjaka ili sa dobro obu\u010denim internim timovima da bi se simulirali napadi na internu mre\u017enu infrastrukturu, fokusiraju\u0107i se posebno na usluge udaljene radne povr\u0161ine (<em>RDP<\/em>) koje su ranjive na eksploataciju <em>Kimsuky<\/em> <em>APT<\/em> grupe;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti robustan sistem za upravljanje informacijama o bezbjednosti i doga\u0111ajima (eng<em>. security information and event management \u2013 SIEM<\/em>) re\u0161enja koji mo\u017ee da prikuplja, analizira i izvje\u0161tava o podacima evidencije iz razli\u010ditih izvora \u0161irom organizacije, uklju\u010duju\u0107i za\u0161titne zidove, sisteme za otkrivanje upada i druge kriti\u010dne komponente infrastrukture;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primijeniti sveobuhvatne <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusne alate<\/a> sposobne da otkriju prijetnje nultog dana ili nepoznate varijante zlonamjernog softvera koje \u010desto koriste zlonamjerni akteri koji iskori\u0161\u0107avaju <em>BlueKeep<\/em> <em>RDP<\/em> ranjivost;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno praviti <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervne kopije<\/a> svih podataka na bezbjednim lokacijama za skladi\u0161tenje koje nisu dostupne sa mre\u017ee, obezbe\u0111uju\u0107i kontinuitet poslovanja u slu\u010daju da napad kompromituje kriti\u010dne sisteme i podatke;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirajte kontrole pristupa zasnovane na ulogama (eng. <em>role-based access controls \u2013 RBAC<\/em>) koje ograni\u010davaju privilegije korisnika i osiguravaju da samo ovla\u0161\u0107eni pojedinci mogu obavljati odre\u0111ene radnje u okviru sistema i infrastrukture organizacije;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristite napredna rje\u0161enja za pra\u0107enje mre\u017enog saobra\u0107aja, kao \u0161to su analizatori paketa, sistemi za spre\u010davanje upada (eng. <em>intrusion prevention systems \u2013 IPS<\/em>) ili druge sli\u010dne tehnologije, kako bi se otkrile potencijalne prijetnje koje ciljaju usluge udaljene radne povr\u0161ine (<em>RDP<\/em>) ranjive na <em>BlueKeep<\/em> <em>RDP<\/em> iskori\u0161tavanje;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Povremeno procjenjivati konfiguraciju sistema koji pokrec\u0301u usluge udaljene radne povr\u0161ine (<em>RDP<\/em>) u odnosu na najbolje prakse koje je navela kompanija <em>Microsoft<\/em> ili drugi renomirani izvori, osiguravaju\u0107i da su sve preporu\u010dene bezbjednost funkcije omogu\u0107ene kao dio sveobuhvatne strategije odbrane.<\/span><\/li>\n<\/ol>\n<p><span style=\"font-size: 14pt;\">Primjenom ovih preporuka, organizacije mogu zna\u010dajno da smanje rizik koji <em>Kimsuky<\/em> <em>APT<\/em> grupa predstavlja kori\u0161tenjem <em>BlueKeep<\/em> <em>RDP<\/em> ranjivosti u sistemima.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>Ponovno kori\u0161tenje BlueKeep RDP ranjivosti podiglo je uzbunu unutar sajber bezbjednosne zajednice, o \u010demu svjedo\u010de nedavni napadi koji se pripisuju naprednoj trajnoj prijetnji (eng. advanced persistent threat \u2013 APT) grupi Kimsuky koju podr\u017eava Sjeverna&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7923,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2969,2972,1335,2971,2973,2974,2970,2975,2976,2977],"class_list":["post-7922","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-bluekeep-vulnerability","tag-cve20190708","tag-kimsuky-apt","tag-larva-24005-campaign","tag-microsoft-security-threats","tag-myspy","tag-rdp-attack","tag-rdpwrap","tag-remote-desktop-exploit","tag-windows-vulnerability"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7922","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7922"}],"version-history":[{"count":0,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7922\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7923"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7922"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7922"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7922"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}