Kuzey Koreli bilgisayar korsanları, sahte Amazon iş değerlendirmesinin bir parçası olarak hedeflerin cihazlarına geri dönenleri dağıtmak için Putty SSH istemcisinin trojanize edilmiş versiyonlarını kullanıyor.
Bu kampanyadaki yeni bir unsur, bu durumda 'airdry.v2' olan bir arka kapı dağıtmak için macun ve Kitty SSH yardımcı programının truva atlı bir versiyonunun kullanılmasıdır.
Bugün yayınlanan Maniant teknik raporuna göre, bu kampanyadan sorumlu tehdit kümesi 'UNC4034' (aka "temp.hermit" veya "Labirent Chollima").
Grubun en son faaliyetleri, Haziran 2020'den bu yana devam eden 'Operasyon Dream Job' kampanyasının bir devamı gibi görünüyor ve bu sefer medya şirketlerini hedef alıyor.
Mantiant, "Temmuz 2022'de, medya endüstrisindeki bir şirkette proaktif tehdit avcılık faaliyetleri sırasında Mantiant Yönetilen Savunma, UNC4034 olarak izlenen tehdit kümesi tarafından kullanılan yeni bir mızrak phish metodolojisi tespit etti."
Saldırı, Amazon'da kazançlı bir iş teklifi ile e -posta yoluyla hedeflerine yaklaşan tehdit aktörleri ile başlar ve daha sonra bir ISO dosyasını paylaştıkları WhatsApp ile iletişime geçer ("Amazon_assessment.iso").
ISO, bir IP adresi ve oturum açma kimlik bilgileri içeren bir metin dosyası ("Readme.txt") ve çok popüler bir açık kaynaklı SSH konsolu uygulaması olan Putty (Putty.exe) sürümünü içerir.
BleepingComputer, 'Amazon-Kitty.exe' dosyası adını kullanarak, bir macun çatalı olan Kitty SSH istemcisini taklit eden tehdit aktörlerinin de farkındadır.
Tehdit aktörleri ve kurbanlar arasında hangi tartışmaların meydana geldiği belirsiz olsa da, bilgisayar korsanları muhtemelen kurbanın ISO'yu açmasını ve ana bilgisayarla bağlantı kurmak ve bir beceri değerlendirmesi yapmak için ekteki SSH aracını ve kimlik bilgilerini kullanmasını söyledi.
Bununla birlikte, bilgisayar korsanları tarafından paylaşılan macun, veri bölümüne kötü amaçlı bir yük ekleyecek şekilde değiştirildi ve kurcalanmış sürümü meşru sürümden önemli ölçüde daha büyük hale getirdi.
Macun yürütülebilir dosyası meşru programdan derlenirken, tamamen işlevseldir ve tam olarak meşru sürüme benzemektedir.
Bununla birlikte, bilgisayar korsanları, Putty'nin Connect_to_Host () işlevini değiştirdi, böylece ekteki kimlik bilgilerini kullanarak başarılı bir bağlantıda program, DLL ("colorui.dll") biçiminde kötü niyetli bir Daveshell Shellcode yükü dağıtır.
Shellcode'u gizli hale getirmek için, kötü niyetli macun, kötü niyetli DLL yüklemek için "ColorCpl.exe" adlı "ColorCpl.exe" de bir arama sırası kaçırma kırılganlığı kullanır.
Daveshell, doğrudan bellekte yürütülen nihai yükün damlası olan AirDry.v2 arka kapı kötü amaçlı yazılımı olarak çalışır.
Airdry.v2, 60 saniyelik bir uykuya gitmeden önce beş sert kodlu C2 adresinden birine bağlanmaya çalışan, adlandırılmış bir boru üzerinden HTTP, dosya veya KOBİ ile iletişim kurabilir.
Arka kapı bir proxy sunucusu kullanma ve aktif RDP oturumları için izleme teknik kapasitesine sahip olsa da, Mantiant tarafından incelenen sürüm bu özellikleri varsayılan olarak devre dışı bırakır.
AirDry'nin önceki sürümüyle karşılaştırıldığında, yeni varyant daha az komutu destekler, ancak bellekteki eklenti yürütme ve C2 iletişimi için AES tuşunu güncellemek yeni özelliklerdir.
Desteklenen komutların sayısını azaltmak arka kapının çok yönlülüğünü etkilemez, çünkü C2'den eklentiler daha fazla cerrahi saldırı için yeni potansiyel açar.
Macun'un trojanize versiyonlarını kontrol etmek için, yürütülebilir ürünün özelliklerine bakabilir ve 'Simon Tatham' tarafından dijital olarak imzalandığından emin olabilirsiniz.
Ne yazık ki, meşru kedicik programı normalde geliştirici tarafından imzalanmamıştır ve bunun yerine kötü amaçlı algılamaları kontrol etmek için Virustotal gibi bir virüs tarama hizmetine yüklenmelidir.
Yeni 'Lightning Framework' Linux kötü amaçlı yazılım, rootkits, backroors yükler
Kuzey Koreli Lazarus Hacker'ları ABD Enerji Sağlayıcılarını hedef alıyor
Çinli hackerlar yeni Linux, macOS kötü amaçlı yazılım ile backdoor sohbet uygulaması
Yeni Linux kötü amaçlı yazılım Brute SSH sunucularını ağları ihlal etmek için zorlar
Microsoft Exchange Sunucuları IIS Backdoors ile giderek daha fazla hacklendi
Kaynak: Bleeping Computer