Kimsuky Hackers使用新的自定义RDP包装器进行远程访问

文章预览

被称为Kimsuky的朝鲜黑客组织在最近的攻击中被发现使用定制的RDP包装器和代理工具直接访问受感染的机器。 发现该活动的AhnLab安全情报中心（ASEC）表示，朝鲜黑客现在正使用一套多样化的定制远程访问工具，而不再仅仅依赖于PebbleDash等嘈杂的后门，但PebbleDash目前仍在使用中，此举也是 Kimsuky改变策略的手段之一。 Kimsuky最新的攻击链 最新的感染链始于一封鱼叉式网络钓鱼电子邮件，其中包含伪装成PDF或Word文档的恶意快捷方式（. lnk）文件附件。这些电子邮件包含收件人的姓名和正确的公司名称，表明Kimsuky在攻击前进行了侦察。 打开.LNK文件会触发PowerShell或Mshta从外部服务器检索额外的负载，包括： · PebbleDash，一个已知的Kimsuky后门，提供初始系统控制。 · 一个修改版本的开源RDP包装工具，支持持久的RDP访问和安全措施绕过。 · 代理工具绕过私 ………………………………