被称为Kimsuky的朝鲜黑客组织在最近的攻击中被发现使用定制的RDP包装器和代理工具直接访问受感染的机器。

发现该活动的AhnLab安全情报中心（ASEC）表示，朝鲜黑客现在正使用一套多样化的定制远程访问工具，而不再仅仅依赖于PebbleDash等嘈杂的后门，但PebbleDash目前仍在使用中，此举也是 Kimsuky改变策略的手段之一。

Kimsuky最新的攻击链

最新的感染链始于一封鱼叉式网络钓鱼电子邮件，其中包含伪装成PDF或Word文档的恶意快捷方式（. lnk）文件附件。这些电子邮件包含收件人的姓名和正确的公司名称，表明Kimsuky在攻击前进行了侦察。

打开.LNK文件会触发PowerShell或Mshta从外部服务器检索额外的负载，包括：

· PebbleDash，一个已知的Kimsuky后门，提供初始系统控制。

· 一个修改版本的开源RDP包装工具，支持持久的RDP访问和安全措施绕过。

· 代理工具绕过私有网络的限制，允许攻击者访问系统，即使直接RDP连接被阻止。

自定义RDP包装器

RDP Wrapper是一个合法的开源工具，用于在Windows版本（如Windows Home）上启用本地不支持的远程桌面协议（RDP）功能。

它充当中间层，允许用户在不修改系统文件的情况下启用远程桌面连接。Kimsuky的版本改变了导出功能，以绕过反病毒检测，并可能区分其行为，足以逃避基于签名的检测。

自定义RDP包装器导出功能

使用自定义RDP包装器的主要优点是规避检测，因为RDP连接通常被视为合法的，允许Kimsuky在雷达下停留更长时间。

此外，与通过恶意软件进行shell访问相比，它提供了更舒适的基于gui的远程控制，并且可以通过中继绕过防火墙或NAT限制，允许从外部进行RDP访问。

ASEC报告说，一旦Kimsuky在网络上站稳脚跟，他们就会放弃二次有效载荷。其中包括一个键盘记录器，它捕获击键并将其存储在系统目录中的文本文件中，一个infostealer（强制复制）提取保存在web浏览器上的凭据，以及一个基于powershell的ReflectiveLoader，它允许在内存中执行有效负载。