RDP u opasnosti: Kimsuky APT koristi BlueKeep ranjivost

AUTOR ·

Ponovno korištenje BlueKeep RDP ranjivosti podiglo je uzbunu unutar sajber bezbjednosne zajednice, o čemu svjedoče nedavni napadi koji se pripisuju naprednoj trajnoj prijetnji (eng. advanced persistent threat – APT) grupi Kimsuky koju podržava Sjeverna Koreja. Iskorištavanje CVE-2019-0708 od strane ovog zlonamjernog aktera naglašava stalnu prijetnju koju predstavljaju ranjivosti koje nisu ažurirane i naglašava potrebu za proaktivnim bezbjednosnim mjerama kako bi se spriječio početni pristup.

Kimsuky APT uses BlueKeep RDP

RDP u opasnosti: Kimsuky APT koristi BlueKeep ranjivost; Source: Bing Image Creator

ISKORIŠTAVANJE RDP RANJIVOSTI

AhnLab Security Intelligence Center (ASEC) je otkrio sofisticiranu kampanju koja je dobila naziv “Larva-24005”, koju su uspjeli povezati sa ozloglašenom Kimsuky APT grupom koja je dugo vremena povezana sa ciljanim napadima na interese Južne Koreje. Otkrivena kampanja aktivno iskorištava kritične ranjivosti u protokolu za udaljenu radnu površinu (eng. remote desktop protocol – RDP) za kompromitovanje sistema u više sektora, uključujući razvoj softvera, energetika i finansije i zemalja, uključujući Južnu Koreju, SAD, Kinu, Japan, Njemačku, Singapur, Južnu Afriku, Holandiju, Meksiko, Vijetnam, Belgiju, Veliku Britaniju, Kanadu, Tajland i Poljsku.

 

BlueKeep

BlueKeep ranjivost, takođe poznata po svojoj zvaničnoj oznaci CVE-2019-0708, otkrivena je 2019. godine. Ova kritična ranjivost utiče na protokol za udaljenu radnu površinu (RDP), što ga čini glavnom metom za zlonamjerne aktere koji traže početni pristup sistemima.

BlueKeep ranjivost omogućava zlonamjernom akteru da izvrši proizvoljan kôd na cijanom sistemu jednostavnim slanjem posebno kreiranih paketa za udaljenu radnu površinu (RDP). To znači da svaka Windows mašina bez primjene ispravke sa omogućenom udaljenom radnom površinom (RDP) može biti eksploatisana, što može dovesti do potpunog ugrožavanja sistema i njegovih podataka. Cilj zlonamjernih aktera je često uspostavljanje postojanosti kroz instaliranje zlonamjernog softvera ili primjene softvera za tajni pristup (eng. backdoor) za buduće korištenje. Iako je kompanija Microsoft objavila sigurnosno ažuriranje za ovu ranjivost u maju 2019. godine, sistemi koji nisu ažurirani su i dalje ranjivi na ovu vrstu napada.

 

Kimsuky APT

U domenu sajber bezbjednosti, napredne trajne prijetnje (APT) su sofisticirane grupe koje se bave ciljanim napadima na mete visoke vrijednosti. Jedna takva grupa je Kimsuky, takođe poznat kao APT43, Velvet Chollima, Black Banshee i THALLIUM. Ova zlonamjerna grupa koju podržava Sjeverna Koreja povezan je sa špijunskim aktivnostima koje su u skladu sa državnim interesima.

Kimsuky APT grupa funkcioniše tako što iskorištava ranjivosti u softveru i sistemima da bi dobila početni pristup. Njen arsenal podrazumijeva spear-phishing napade, taktike društvenog inženjeringa i iskorištavanje nedostataka u aplikacijama kao što su Microsoft Office i udaljena radna površina (RDP). Poznato je da grupa koristi prilagođene alate za zlonamjerni softver, kao što je RDP Wrapper, da omogući pristup udaljenoj radnoj površini (RDP) i izbjegne otkrivanje.

 

Kampanja Larva-24005

Početni vektor pristupa koji koriste zlonamjerni akteri u ovoj kampanji varira u zavisnosti od ciljnog sistema. Upotreba phishing elektronske pošte kao početnog vektora napada je primjetna u ovoj kampanji kod žrtava u Južnoj Koreji i Japanu koje su primale zlonamjerne poruke od nekih sistema korišćenih u napadu.

Za napade zasnovane na protokolu za udaljenu radnu površinu (RDP), zlonamjerni akteri su koristili specijalizovane alate za skeniranje da identifikuju ranjive sisteme koji se mogu daljinski eksploatisati. Ovi skeneri su dizajnirani da povećaju efikasnost i pružaju široke mogućnosti za identifikaciju potencijalnih ciljeva.

Jedan značajan aspekt ovih skenera udaljenu radnu površinu (RDP) je njihovo postojanje u varijantama komandne linije (CLI) i grafičkog okruženja (GUI). Verzija sa grafičkim okruženjem nudi niz naprednih funkcija, uključujući mogućnost specificiranja IP opsega, podešavanja vremenskih ograničenja veze i korišćenje opcija za više procesa. Ovo omogućava zlonamjernim akterima da brzo skeniraju velike mreže u potrazi za ranjivim sistemima, što olakšava identifikaciju potencijalnih meta.

 

Eksploatacija

Kada dođe do uspješne eksploatacije, softver za ubacivanje (eng. dropper) kreira i izvršava i MySpy zlonamjerni softver za prikupljanje informacija i komponente RDPWrap na kompromitovanom sistemu. Primarna funkcija MySpy zlonamjernog softvera je prikupljanje osjetljivih sistemskih informacija, koje zlonamjerni akteri mogu koristiti za dalje zlonamjerne aktivnosti ili prodati na ilegalnim internet tržištima.

RDPWrap, s druge strane, manipuliše sistemskim postavkama Windows operativnog sistema kako bi omogućio udaljene veze čak i kada bi takva funkcionalnost inače bila ograničena. Ovo omogućava zlonamjernim akterima da zadrže postojan pristup kompromitovanim sistemima tokom višestrukih ponovnih pokretanja i osigurava da njihov skup alata ostane aktivan tokom ciklusa napada.

 

Softveri za praćenje korisničkog unosa

U završnoj fazi ovog lanca infekcije, zlonamjerni akteri primjenjuju ili KimaLogger ili RandomQuery softvere za praćenje korisničkog unosa (eng. keyloggers) na inficiranim sistemima. Ovi zlonamjerni alati su dizajnirani da prate unose korisnika u realnom vremenu, omogućavajući zlonamjernim akterima da prikupe osjetljive informacije kao što su podaci za prijavu i brojevi kreditnih kartica. Ovi podaci se zatim mogu koristiti za dalju finansijsku dobit ili prodati na ilegalnim internet tržištima.

 

Mehanizam postojanosti

Da bi održali postojanost tokom ponovnog pokretanja sistema, zlonamjerni akteri mijenjaju Windows sistemske registre pod ključem za automatsko pokretanje sistemskih procesa. Ovo osigurava da njihov skup alata ostaje aktivan čak i nakon ponovnog pokretanja, što im omogućava da nastave da prikupljaju osjetljive informacije i održavaju daljinski pristup ugroženim sistemima.

 

UTICAJ

Aktivnosti Kimsuky APT grupe koje iskorištavaju ranjivost BlueKeep predstavljaju ozbiljnu prijetnju, naročito u Južnoj Koreji i Japanu. Zlonamjerni akteri koriste ovu ranjivost udaljene radne površinu (RDP) kao početni vektor napada, omogućavajući im da infiltriraju sisteme, instaliraju zlonamjerne komponente i uspostave trajnu kontrolu nad kompromitovanim uređajima.

Međutim, posljedice ove kampanje daleko nadmašuju pojedinačne incidente kompromitacije. Masovna eksploatacija BlueKeep ranjivosti izaziva duboku zabrinutost zbog mogućnosti širenja napada kroz povezane mreže, stvarajući ozbiljan rizik od sistemske štete. Ovo se posebno odnosi na organizacije koje se oslanjaju na protokol udaljene radne površine (RDP) radi podrške radu na daljinu ili upravljanja kritičnim sistemima, gdje ovi napadi predstavljaju značajnu bezbjednosnu prijetnju.

S obzirom na široku primjenu protokola udaljene radne površine (RDP) u poslovnim okruženjima, on postaje idealna meta za zlonamjerne aktere koji žele da pristupe povjerljivim informacijama ili naruše rad ključnih infrastrukturnih sistema.

 

ZAKLJUČAK

Iz svega iznad navedenog, nemoguće je da se ne primijeti zabrinjavajući trend u tehnikama i taktikama Kimsuky APT grupe. Iskorišćavanje BlueKeep RDP ranjivosti (CVE-2019-0708) je samo jedan primjer kako ova grupa povezana sa Sjevernom Korejom nastavlja da razvija svoje metode za dobijanje početnog pristupa ciljnim sistemima. Kombinovanjem zastarelih ranjivosti sa modernim spear-phishing napadima uz upotrebu nekoliko varijanti zlonamjernog softvera, Kimsuky APT grupa je pokazala jasan fokus na postizanje postojanosti i izbjegavanju otkrivanja.

Jedan aspekt koji se ističe je Kimsuky APT strateški fokus na prikupljanje podataka za prijavu i dugoročnu špijunažu, o čemu svjedoči integracija softvera za praćenje korisničkog unosa i kradljivaca sistemskih informacija u njihovom arsenalu. Ovaj proračunati pristup podvlači jasno razumijevanje među državno sponzorisanim akterima kao što je ova grupa: iskorištavanje ranjivosti za maksimalnu korist zahteva više od pukog tehničkog umijeća – zahteva intimno poznavanje ljudske psihologije.

Analiza kampanje Larva-24005 samo potvrđuje da će državno sponzorisani akteri kao što je Kimsuky APT nastaviti da iskorištavaju ranjivosti softverskih sistema za svoju ličnu korist. Zbog toga je od suštinskog značaja za organizacije i pojedince da daju prioritet mjerama sajber bezbjednosti, uključujući redovna ažuriranja, ispravke i dijeljenje obavještajnih podataka o prijetnjama. Na ovaj način je moguće zajednički smanjiti rizik od toga da se postane žrtva ovih vrsta napada.

 

ZAŠTITA

Evo preporuka o tome kako da se zaštititi od ranjivosti BlueKeep RDP koje koristi Kimsuky APT grupa:

  1. Uvjeriti se da su svi sistemi, posebno oni koji koriste Microsoft Remote Desktop Services (RDS), ažurirani sa ispravkom za CVE-2019-0708 i za sve druge poznate ranjivosti. Redovno ažurirati operativne sisteme, aplikacije i upravljački softver kako bi se spriječilo iskorišćavanje otkrivenih ranjivosti;
  2. Vršite redovne bezbjednosne revizije da bi se identifikovale potencijalne slabosti mrežne infrastrukture, uključujući protokol udaljene radne površine (RDP). Koristiti alate za skeniranje ranjivosti kako bi se identifikovale ranjivosti i kako bi se mogle pružiti preporuke za njihovo otklanjanje;
  3. Ograničite pristup kritičnim sistemima koji koriste RDS primjenom strogih smjernica za autentifikaciju i autorizaciju. Uvjeriti se da samo ovlašćeno osoblje ima privilegije udaljene radne površine (RDP) i razmislite o korišćenju autentifikacije u više koraka (eng. multi-factor authentication – MFA) da bi se poboljšala bezbjednost;
  4. Konfigurisati usluge udaljene radne površine (RDP) najnovijim ažuriranjima i pratite najbolje prakse za obezbjeđenje veza, kao što je omogućavanje provjere autentičnosti na nivou mreže (eng. Network Level Authentication – NLA), onemogućavanje anonimnog pristupa i konfigurisanje pravila zaštitnog zida za ograničavanje dolaznog saobraćaja na portu 3389;
  5. Segmentirati mrežu na manje, izolovane zone da bi se ograničilo širenje potencijalnog zlonamjernog softvera u slučaju da zlonamjerni akter dobije pristup korišćenjem BlueKeep RDP Ovo će pomoći u sprečavanju bočnog kretanja (eng. lateral movement) i smanjenju površine napada;
  6. Implementirati napredne sisteme za otkrivanje prijetnji koji mogu da identifikuju anomalno ponašanje koje ukazuje na pokušaje eksploatacije ili druge zlonamjerne aktivnosti koje ciljaju usluge udaljene radne površine (RDP);
  7. Razviti efikasan plan odgovora na sajber prijetnju kako bi se brzo odgovorili na potencijalne bezbjednosne incidente, uključujući one koji se odnose na zloupotrebe BlueKeep RDP. Osigurati da je svo osoblje obučeno o procedurama i protokolima navedenim u ovom planu;
  8. Sprovoditi redovno penetracijsko testiranje i vježbe crvenog tima angažovanjem spoljnih stručnjaka ili sa dobro obučenim internim timovima da bi se simulirali napadi na internu mrežnu infrastrukturu, fokusirajući se posebno na usluge udaljene radne površine (RDP) koje su ranjive na eksploataciju Kimsuky APT grupe;
  9. Koristiti robustan sistem za upravljanje informacijama o bezbjednosti i događajima (eng. security information and event management – SIEM) rešenja koji može da prikuplja, analizira i izvještava o podacima evidencije iz različitih izvora širom organizacije, uključujući zaštitne zidove, sisteme za otkrivanje upada i druge kritične komponente infrastrukture;
  10. Primijeniti sveobuhvatne antivirusne alate sposobne da otkriju prijetnje nultog dana ili nepoznate varijante zlonamjernog softvera koje često koriste zlonamjerni akteri koji iskorišćavaju BlueKeep RDP ranjivost;
  11. Redovno praviti rezervne kopije svih podataka na bezbjednim lokacijama za skladištenje koje nisu dostupne sa mreže, obezbeđujući kontinuitet poslovanja u slučaju da napad kompromituje kritične sisteme i podatke;
  12. Implementirajte kontrole pristupa zasnovane na ulogama (eng. role-based access controls – RBAC) koje ograničavaju privilegije korisnika i osiguravaju da samo ovlašćeni pojedinci mogu obavljati određene radnje u okviru sistema i infrastrukture organizacije;
  13. Koristite napredna rješenja za praćenje mrežnog saobraćaja, kao što su analizatori paketa, sistemi za sprečavanje upada (eng. intrusion prevention systems – IPS) ili druge slične tehnologije, kako bi se otkrile potencijalne prijetnje koje ciljaju usluge udaljene radne površine (RDP) ranjive na BlueKeep RDP iskorištavanje;
  14. Povremeno procjenjivati konfiguraciju sistema koji pokreću usluge udaljene radne površine (RDP) u odnosu na najbolje prakse koje je navela kompanija Microsoft ili drugi renomirani izvori, osiguravajući da su sve preporučene bezbjednost funkcije omogućene kao dio sveobuhvatne strategije odbrane.

Primjenom ovih preporuka, organizacije mogu značajno da smanje rizik koji Kimsuky APT grupa predstavlja korištenjem BlueKeep RDP ranjivosti u sistemima.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.