被稱為Kimsuky的朝鮮黑客組織在最近的攻擊中被發現使用定制的RDP包裝器和代理工具直接訪問受感染的機器。

發現該活動的AhnLab安全情報中心（ASEC）表示，朝鮮黑客現在正使用一套多樣化的定制遠程訪問工具，而不再僅僅依賴于PebbleDash等嘈雜的后門，但PebbleDash目前仍在使用中，此舉也是Kimsuky改變策略的手段之一。

Kimsuky最新的攻擊鏈

最新的感染鏈始于一封魚叉式網絡釣魚電子郵件，其中包含偽裝成PDF或Word文檔的惡意快捷方式（. lnk）文件附件。這些電子郵件包含收件人的姓名和正確的公司名稱，表明Kimsuky在攻擊前進行了偵察。

打開.LNK文件會觸發PowerShell或Mshta從外部服務器檢索額外的負載，包括：

·PebbleDash，一個已知的Kimsuky后門，提供初始系統控制。

·一個修改版本的開源RDP包裝工具，支持持久的RDP訪問和安全措施繞過。

·代理工具繞過私有網絡的限制，允許攻擊者訪問系統，即使直接RDP連接被阻止。

自定義RDP包裝器

RDP Wrapper是一個合法的開源工具，用于在Windows版本（如Windows Home）上啟用本地不支持的遠程桌面協議（RDP）功能。

它充當中間層，允許用戶在不修改系統文件的情況下啟用遠程桌面連接。Kimsuky的版本改變了導出功能，以繞過反病毒檢測，并可能區分其行為，足以逃避基于簽名的檢測。

自定義RDP包裝器導出功能

使用自定義RDP包裝器的主要優點是規避檢測，因為RDP連接通常被視為合法的，允許Kimsuky在雷達下停留更長時間。

此外，與通過惡意軟件進行shell訪問相比，它提供了更舒適的基于gui的遠程控制，并且可以通過中繼繞過防火墻或NAT限制，允許從外部進行RDP訪問。

ASEC報告說，一旦Kimsuky在網絡上站穩腳跟，他們就會放棄二次有效載荷。其中包括一個鍵盤記錄器，它捕獲擊鍵并將其存儲在系統目錄中的文本文件中，一個infostealer（強制復制）提取保存在web瀏覽器上的憑據，以及一個基于powershell的ReflectiveLoader，它允許在內存中執行有效負載。

整體來看，Kimsuky作為一個持續不斷的威脅，也是朝鮮致力于收集情報最多產的網絡間諜威脅組織之一。根據ASEC的最新發現表明，其威脅組織正轉向更隱蔽的遠程訪問方法，以延長在受損網絡中的停留時間。

參考及來源：https://www.bleepingcomputer.com/news/security/kimsuky-hackers-use-new-custom-rdp-wrapper-for-remote-access/