被称为 Kimsuky 的朝鲜黑客组织在最近的攻击中被发现使用定制的 RDP 包装器和代理工具直接访问受感染的机器。

发现该活动的 AhnLab 安全情报中心（ASEC）表示，朝鲜黑客现在正使用一套多样化的定制远程访问工具，而不再仅仅依赖于 PebbleDash 等嘈杂的后门，但 PebbleDash 目前仍在使用中，此举也是 Kimsuky 改变策略的手段之一。

Kimsuky 最新的攻击链

最新的感染链始于一封鱼叉式网络钓鱼电子邮件，其中包含伪装成 PDF 或 Word 文档的恶意快捷方式（. lnk）文件附件。这些电子邮件包含收件人的姓名和正确的公司名称，表明 Kimsuky 在攻击前进行了侦察。

打开 .LNK 文件会触发 PowerShell 或 Mshta 从外部服务器检索额外的负载，包括：

·PebbleDash，一个已知的 Kimsuky 后门，提供初始系统控制。

·一个修改版本的开源 RDP 包装工具，支持持久的 RDP 访问和安全措施绕过。

·代理工具绕过私有网络的限制，允许攻击者访问系统，即使直接 RDP 连接被阻止。

自定义 RDP 包装器

RDP Wrapper 是一个合法的开源工具，用于在 Windows 版本（如 Windows Home）上启用本地不支持的远程桌面协议（RDP）功能。

它充当中间层，允许用户在不修改系统文件的情况下启用远程桌面连接。Kimsuky 的版本改变了导出功能，以绕过反病毒检测，并可能区分其行为，足以逃避基于签名的检测。

自定义 RDP 包装器导出功能

使用自定义 RDP 包装器的主要优点是规避检测，因为 RDP 连接通常被视为合法的，允许 Kimsuky 在雷达下停留更长时间。

此外，与通过恶意软件进行 shell 访问相比，它提供了更舒适的基于 gui 的远程控制，并且可以通过中继绕过防火墙或 NAT 限制，允许从外部进行 RDP 访问。

ASEC 报告说，一旦 Kimsuky 在网络上站稳脚跟，他们就会放弃二次有效载荷。其中包括一个键盘记录器，它捕获击键并将其存储在系统目录中的文本文件中，一个 infostealer（强制复制）提取保存在 web 浏览器上的凭据，以及一个基于 powershell 的 ReflectiveLoader，它允许在内存中执行有效负载。

整体来看，Kimsuky 作为一个持续不断的威胁，也是朝鲜致力于收集情报最多产的网络间谍威胁组织之一。根据 ASEC 的最新发现表明，其威胁组织正转向更隐蔽的远程访问方法，以延长在受损网络中的停留时间。