Hackers από τη Βόρειο Κορέα χρησιμοποιούν Trojanized έκδοση του προγράμματος-πελάτη PuTTY SSH, για να αναπτύξουν backdoors “AIRDRY.V2” σε συσκευές, ως μέρος μιας ψεύτικης αξιολόγησης εργασίας του Amazon.
Δείτε επίσης: Hackers εκμεταλλεύονται το θάνατο της Βασίλισσας Ελισάβετ
Σύμφωνα με την τεχνική έκθεση Mandiant που δημοσιεύτηκε πρόσφατα, η ομάδα που είναι υπεύθυνη για αυτήν την εκστρατεία είναι η ‘UNC4034‘, γνωστή και ως “Temp.Hermit” ή “Labyrinth Chollima“.
Οι τελευταίες δραστηριότητες της ομάδας φαίνεται να αποτελούν συνέχεια της εκστρατείας «Operation Dream Job», η οποία βρίσκεται σε εξέλιξη από τον Ιούνιο του 2020 και αυτή τη φορά στοχεύει εταιρείες μέσων ενημέρωσης.
Η επίθεση ξεκινά με τους κακόβουλους παράγοντες να πλησιάζουν τους στόχους τους μέσω email με μια προσοδοφόρα προσφορά εργασίας στην Amazon και στη συνέχεια επικοινωνούν με το WhatsApp, όπου μοιράζονται ένα αρχείο ISO (“amazon_assessment.iso”).
Το ISO περιλαμβάνει ένα αρχείο κειμένου (“readme.txt”) που περιέχει μια διεύθυνση IP και διαπιστευτήρια σύνδεσης και μια Trojanized έκδοση του PuTTY (PuTTY.exe), μιας πολύ δημοφιλούς εφαρμογής SSH ανοιχτού κώδικα.
Δείτε ακόμα: Hackers κλέβουν εκατομμύρια από επεξεργαστές πληρωμών υγειονομικής περίθαλψης
Αν και δεν είναι σαφές ποιες συζητήσεις έγιναν μεταξύ των hackers και των θυμάτων, πιθανότατα ζητήθηκε από το θύμα να ανοίξει το ISO και να χρησιμοποιήσει το εσώκλειστο εργαλείο SSH και τα διαπιστευτήρια για να συνδεθεί με τον κεντρικό υπολογιστή και να πραγματοποιήσει μια αξιολόγηση δεξιοτήτων.
Ωστόσο, το PuTTY που μοιράστηκαν οι hackers τροποποιήθηκε για να συμπεριλάβει ένα κακόβουλο ωφέλιμο φορτίο στην ενότητα δεδομένων του, καθιστώντας την παραποιημένη έκδοση σημαντικά μεγαλύτερη από τη νόμιμη.
Καθώς το εκτελέσιμο PuTTY έχει μεταγλωττιστεί από το νόμιμο πρόγραμμα, είναι πλήρως λειτουργικό και μοιάζει ακριβώς με τη νόμιμη έκδοση.
Ωστόσο, οι hackers τροποποίησαν τη συνάρτηση connect_to_host() του PuTTY έτσι ώστε σε μια επιτυχημένη σύνδεση SSH χρησιμοποιώντας τα εσωκλειόμενα διαπιστευτήρια, το πρόγραμμα αναπτύσσει ένα κακόβουλο ωφέλιμο φορτίο κελύφους DAVESHELL με τη μορφή ενός DLL (“colorui.dll”) γεμάτο με Themida.
Δείτε επίσης: Hackers κλέβουν Steam credentials μέσω Browser-in-the-Browser phishing επιθέσεων
Για να καταστήσει κρυφή την εκκίνηση του shellcode, το κακόβουλο PuTTY χρησιμοποιεί μια ευπάθεια παραβίασης εντολής αναζήτησης στο “colorcpl.exe“, το νόμιμο εργαλείο διαχείρισης χρωμάτων των Windows, για να φορτώσει το κακόβουλο DLL.
Το DAVESHELL λειτουργεί ως το dropper του τελικού ωφέλιμου φορτίου, του κακόβουλου λογισμικού AIRDRY.V2 backdoor, το οποίο εκτελείται απευθείας στη μνήμη.
Για να ελέγξετε για trojanized εκδόσεις του PuTTY, μπορείτε να δείτε τις ιδιότητες του εκτελέσιμου αρχείου και να βεβαιωθείτε ότι είναι ψηφιακά υπογεγραμμένο από τον «Simon Tatham».
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/420867/hackers-xrisimopoioun-trojanized-ekdosi-putty-ssh/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/https://www.secnews.gr/wp-content/uploads/2022/09/trojans.jpg&description=Hackers από τη Βόρειο Κορέα χρησιμοποιούν Trojanized έκδοση του προγράμματος-πελάτη PuTTY SSH, για να αναπτύξουν backdoors "AIRDRY.V2".){kind=link}