Kimsuky: gli hacker nordcoreani impiegano RDP Wrapper

Il gruppo di hacker nordcoreano Kimsuky ha aggiornato le proprie tecniche di attacco informatico adottando un nuovo strumento: un RDP Wrapper personalizzato. Questa modifica rappresenta un'evoluzione rispetto agli attacchi precedenti, che si basavano principalmente sull’utilizzo del malware PebbleDash. La scoperta di questa nuova tattica è stata effettuata dall'AhnLab Security Intelligence Center (ASEC), che ha monitorato l'attività del gruppo.

L'attacco inizia con una campagna di phishing, in cui gli hacker inviano email contenenti un file malevolo con estensione .LNK (shortcut), mascherato da documento PDF o Word. Quando la vittima apre il file, si attiva un codice che scarica ulteriori payload da un server remoto. Tra questi payload ci sono:

• PebbleDash: il già noto backdoor utilizzato in attacchi precedenti da Kimsuky.
• RDP Wrapper personalizzato: una versione modificata del popolare strumento open-source RDP Wrapper, che consente l'accesso remoto ai sistemi Windows anche quando la funzione RDP non è nativamente supportata. Questa versione è progettata per sfuggire ai sistemi di rilevamento antivirus.
• Strumenti proxy: per aggirare eventuali blocchi alle connessioni RDP dirette, consentendo l'accesso remoto attraverso canali alternativi.

I vantaggi di queste nuove tecniche d'attacco

L’adozione di un RDP Wrapper personalizzato offre vari vantaggi agli hacker. Prima di tutto, il tool modificato permette di eludere i sistemi antivirus, aumentando così le probabilità di successo dell'intrusione. Inoltre, poiché l'accesso tramite RDP è spesso considerato una connessione legittima, risulta più difficile per gli amministratori di sistema rilevare attività sospette. Infine, RDP offre una maggiore flessibilità rispetto ad altre tecniche di controllo remoto, come l'utilizzo di shell, garantendo agli hacker un controllo più completo e comodo sui sistemi compromessi.

Una volta ottenuto l'accesso remoto, Kimsuky può avviare una serie di attività dannose, come il furto di dati sensibili tramite keylogger, rubare credenziali con infostealer, o eseguire comandi remoti per danneggiare ulteriormente i sistemi.

Questa nuova modalità di attacco evidenzia l’evoluzione delle tecniche degli hacker, che si adattano costantemente per sfuggire alle difese tradizionali. Per proteggersi, è fondamentale mantenere aggiornati i sistemi operativi e le applicazioni, utilizzare soluzioni di sicurezza avanzate e prestare attenzione a email sospette e allegati non richiesti.