Северокорейские хакеры используют троянизированные версии SSH-клиента PuTTY для установки бэкдоров на устройствах целей в рамках поддельной оценки рабочих мест на Amazon.
Новым элементом этой кампании является использование троянизированной версии SSH-утилиты PuTTY и KiTTY для установки бэкдора, которым в данном случае является ‘AIRDRY.V2’.
Согласно опубликованному сегодня техническому отчету Mandiant, кластер угроз, ответственный за эту кампанию, – ‘UNC4034’ (он же “Temp.Hermit” или “Labyrinth Chollima”).
Последние действия группы, похоже, являются продолжением кампании “Operation Dream Job”, продолжающейся с июня 2020 года, на этот раз направленной против медиакомпаний.
“В июле 2022 года в ходе проактивной охоты за угрозами в компании, работающей в медиа-индустрии, Mandiant Managed Defense выявила новую методику spear phish, используемую кластером угроз, отслеживаемым как UNC4034, – пояснили в Mandiant.
Использование SSH-клиента PuTTY для распространения вредоносного ПО
Атака начинается с того, что угрожающие субъекты обращаются к своим целям по электронной почте с выгодным предложением работы в Amazon, а затем переводят общение в WhatsApp, где делятся ISO-файлом (“amazon_assessment.iso”).
ISO включает текстовый файл (“readme.txt”), содержащий IP-адрес и учетные данные для входа в систему, а также троянскую версию PuTTY (PuTTY.exe), очень популярного консольного приложения SSH с открытым исходным кодом.
BleepingComputer также известно, что угрожающие лица выдают себя за SSH-клиент KiTTY, форк PuTTY, используя имя файла ‘Amazon-KiTTY.exe’.
Хотя неизвестно, какие обсуждения происходили между участниками угрозы и жертвами, хакеры, скорее всего, говорили жертве открыть ISO и использовать прилагаемый инструмент SSH и учетные данные для подключения к хосту и проведения оценки навыков.
Однако программа PuTTY, предоставленная хакерами, была модифицирована таким образом, чтобы включить вредоносную полезную нагрузку в раздел данных, в результате чего ее размер значительно превысил размер легитимной версии.
Поскольку исполняемый файл PuTTY был скомпилирован из легитимной программы, он полностью функционален и выглядит точно так же, как и легитимная версия.
Однако хакеры модифицировали функцию connect_to_host() программы PuTTY таким образом, что при успешном SSH-соединении с использованием введенных учетных данных программа развертывает вредоносный шеллкод DAVESHELL в виде DLL-библиотеки (“colorui.dll”), упакованной с помощью Themida.
Чтобы сделать запуск шеллкода незаметным, вредоносный PuTTY использует уязвимость перехвата порядка поиска в “colorcpl.exe”, легитимном инструменте управления цветом Windows, для загрузки вредоносной DLL.
DAVESHELL работает как дроппер конечной полезной нагрузки – вредоносного бэкдора AIRDRY.V2, который исполняется непосредственно в памяти.
По сравнению с предыдущей версией AIRDRY, новый вариант поддерживает меньшее количество команд, но исполнение плагинов в памяти и обновление ключа AES для связи с C2 – это новые возможности.
Сокращение числа поддерживаемых команд не влияет на универсальность бэкдора, поскольку получение плагинов из C2 открывает новые возможности для более хирургических атак.
Чтобы проверить наличие троянских версий PuTTY, можно посмотреть на свойства исполняемого файла и убедиться, что он подписан цифровой подписью “Саймон Тэтэм”.
К сожалению, легитимная программа KiTTY обычно не подписывается разработчиком, и вместо этого ее следует загрузить в службу сканирования вирусов, например, VirusTotal, для проверки на наличие вредоносных обнаружений.
Ещё на этих выходных про школу программирования для детей во Владимире на https://кодкрафт.рф почитал, думаю это должно заинтересовать достаточно большое количество людей. Заходите не пожалеете.