Nel panorama della cybersecurity globale, il gruppo Kimusky si è guadagnato una reputazione sinistra grazie alle sue campagne di attacchi informatici sofisticati. Recentemente, gli esperti hanno individuato una nuova operazione denominata “Larva-24005”, che sfrutta vulnerabilità note nel protocollo Microsoft Remote Desktop (RDP) e nei prodotti Microsoft Office. In questo articolo analizziamo in dettaglio le tecniche utilizzate dagli hacker, settori e paesi colpiti, gli strumenti impiegati, e forniamo strategie concrete per rafforzare la sicurezza di sistemi e reti aziendali.
Kimusky: chi sono e quali sono i loro obiettivi
Il gruppo Kimusky, attribuito comunemente alla Corea del Nord, agisce da anni come attore di minacce sponsorizzato da uno stato. È noto per attacchi mirati principalmente contro istituzioni sudcoreane, ma negli ultimi anni ha ampliato il raggio d’azione interessando Stati Uniti, Cina, Giappone, Germania e altri paesi. I settori più colpiti sono sviluppo software, energia e finanza, rendendo questo gruppo una minaccia trasversale che può interessare qualunque realtà con infrastrutture digitali critiche.
La campagna “Larva-24005”: vettori d’attacco e meccanismi
La campagna individuata dai ricercatori, attiva da settembre 2023, sfrutta due canali principali per ottenere accesso iniziale ai sistemi bersaglio:
- Exploiting RDP (Remote Desktop Protocol): Kimusky scansiona Internet alla ricerca di sistemi Windows vulnerabili al bug BlueKeep (CVE-2019-0708), una vulnerabilità critica che consente esecuzione di codice remoto senza autenticazione.
- Spear-phishing tramite allegati Office: Gli attacchi utilizzano email mirate, soprattutto contro enti sudcoreani e giapponesi, con allegati malevoli che sfruttano la vulnerabilità Equation Editor di Office (CVE-2017-11882). L’apertura del file da parte della vittima permette agli hacker di ottenere controllo del sistema.
Strumenti di scansione avanzati
Kimusky utilizza scanner per RDP, sia in versione a riga di comando che con interfaccia grafica. Questi strumenti consentono di testare interi range di IP, impostare time-out e gestire scansioni multi-thread per massimizzare il numero di bersagli verificati in poco tempo.
Droppers, malware e backdoor
Una volta ottenuto accesso, viene scaricato un dropper che installa due componenti principali:
- MySpy: Malware per la raccolta di informazioni sul sistema compromesso.
- RDPWrap: Modifica le impostazioni di Windows per abilitare l’accesso remoto persistente, anche su sistemi dove tale funzionalità sarebbe normalmente disabilitata.
Persistenza e furto di dati
Per mantenere il controllo, Kimusky manipola il registro di sistema, inserendo le proprie utility nello shell startup e rendendole attive anche dopo ogni riavvio. Nelle fasi successive viene installato un keylogger (KimaLogger o RandomQuery) in grado di intercettare tutto ciò che la vittima digita, inclusi dati di accesso sensibili e informazioni personali.
Analisi dei rischi per aziende e organizzazioni
Le implicazioni di questo tipo di attacco sono molteplici:
- Accesso non autorizzato a dati sensibili: Gli hacker possono esportare documenti riservati, credenziali e proprietà intellettuale.
- Attacchi a catena: Una volta connessi ai server centrali, è possibile muoversi lateralmente nella rete aziendale.
- Furto identità e accessi privilegiati: La raccolta di input tramite keylogger permette di rubare password e token d’accesso, facilitando ulteriori intrusioni.
- Persistenza difficilmente individuabile: Le modifiche persistenti assicurano che anche dopo la rimozione apparente dell’infezione, gli hacker possano rientrare nel sistema.
Consigli pratici per la difesa
Difendersi dagli attacchi tipo “Larva-24005” richiede un approccio multilivello che coniughi aggiornamento costante, buone pratiche di configurazione e formazione del personale.
1. Aggiornare costantemente sistemi e applicazioni
- Installare immediatamente le patch di sicurezza relative a RDP, Microsoft Office e sistema operativo Windows.
- Verificare che non siano più presenti versioni vulnerabili come Equation Editor (CVE-2017-11882) e BlueKeep (CVE-2019-0708).
2. Limitare l’esposizione dell’RDP
- Disabilitare RDP dove non necessario.
- Se l’uso di RDP è indispensabile, configurarlo su VPN sicura e limitare gli indirizzi IP abilitati all’accesso.
- Attivare l’autenticazione a due fattori per tutte le sessioni remote.
3. Rafforzare la configurazione di sicurezza
- Modificare le porte RDP di default per ridurre i rischi di attacchi automatici.
- Monitorare continuamente i log di accesso e le modifiche al registro di sistema (specialmente shell startup key).
- Utilizzare sistemi di rilevamento delle minacce (IDS/IPS) per individuare traffico sospetto o tentativi di exploit.
4. Prevenire infezioni tramite phishing
- Formare tutto il personale a riconoscere email sospette, inviare report di phishing e non aprire allegati provenienti da fonti non verificate.
- Impostare filtri antispam avanzati e sistemi di sandboxing per allegati Office.
5. Eseguire backup regolari e creare piani di risposta agli incidenti
- Mantenere backup offline di tutti i dati critici, testando periodicamente la procedura di ripristino.
- Redigere e condividere un piano di risposta agli incidenti che preveda azioni rapide in caso di compromissione.
Segnali di compromissione da monitorare
Prestare particolare attenzione a:
- Modifiche non autorizzate nel registro di sistema, soprattutto nell’avvio automatico.
- Presenza di processi sospetti come MySpy, RDPWrap, KimaLogger o RandomQuery.
- Attività anomala sull’RDP e accessi da indirizzi IP non riconosciuti.
- Email di phishing che contengono allegati Office, soprattutto provenienti da indirizzi mail apparentemente affidabili.
Strategie di cybersecurity avanzate
- Implementare segmentazione di rete: Isolare i sistemi critici dal resto della rete.
- Hardening delle workstation: Disabilitare macro e componenti non necessari in Office, ridurre i privilegi amministrativi agli utenti.
- Threat intelligence: Abbonarsi a feed aggiornati su Indicatori di Compromissione (IoC) relativi a Kimusky e ad altri gruppi noti.
La crescente sofisticazione delle minacce informatiche richiede consapevolezza, attenzione e investimenti continui in formazione e strumenti tecnologici. Il caso “Larva-24005” mostra quanto possano essere insidiose le campagne di attacco che sfruttano vulnerabilità note ma spesso trascurate. Aggiornare regolarmente i propri sistemi, seguire buone pratiche di configurazione e formare il personale sono i primi passi indispensabili per difendersi da Kimusky e da minacce analoghe. Solo così è possibile prevenire, rilevare e neutralizzare tentativi di intrusione prima che si trasformino in danni concreti per la propria azienda.
Fonte: https://cybersecuritynews.com/kimusky-hackers-exploiting-rdp-ms-office-vulnerabilities
