Kuzey Kore’den gelen düşmanlar, PuTTY SSH istemcisinin truva atlı sürümlerini kullanarak hedeflerin cihazlarına kritik arka kapılar yerleştiriyor. Cihazlarına arka kapılar koymak için sahte bir Amazon iş başvurusu gibi davranmak.
Bu kampanyada PuTTY ve KiTTY SSH yardımcı programlarının truva atına dönüştürülmüş bir sürümünün bir arka kapı dağıtma aracı olarak kullanılması ilginç bir unsurdur. Bu durumda PuTTY ve KiTTY SSH yardımcı programı ‘AIRDRY.V2’ olur.
Mandiant’taki siber güvenlik araştırmacıları bu kampanyayı ‘UNC4034’ olarak bilinen tehdit grubuyla ilişkilendirdi ve aşağıda bu grubun diğer isimlerinden bahsettik:-
- Sıcaklık[.]münzevi
- [Labyrinth Chollima]
Grubun yaptığı son etkinliklerde, ‘Hayal İşi Operasyonu’ kampanyasına devam edildiği görülüyor. Haziran 2020’den beri devam eden bu kampanya kapsamında şu anda medya şirketleri hedef alınıyor.
PuTTY SSH İstemcisi ve WhatsApp’tan Yararlanma
Tehdit aktörleri, saldırıya onları cezbetmek amacıyla Amazon’dan gelen kazançlı bir iş teklifi ile hedeflerine e-posta göndererek saldırıya başlar.
Bir sonraki adımda, ISO görüntüsünü içeren bir dosyayı paylaşacakları WhatsApp aracılığıyla iletişim kuracaklar: –
ISO’nun içerdiği dosyalar aşağıdaki gibidir:
- Bir metin dosyası (“benioku.txt”)
- bir IP adresi
- Giriş kimlik
- PuTTY’nin truva atlanmış bir sürümü (PuTTY.exe)
Tehdit aktörlerinin ‘Amazon-KiTTY’ dosya adını kullandığına inanılıyor.[.]exe’ KiTTY SSH istemcisinin kimliğine bürünmek için. Tehdit aktörleri ve mağdurlar arasındaki tartışmaya ilişkin olarak, aralarında ne tartışıldığı bilinmiyor.
Bilgisayar korsanları tarafından paylaşılan PuTTY uygulamasının veri bölümüne kötü amaçlı bir payload yüklendi. Sonuç olarak, yasal sürümün boyutunda, değiştirilmiş sürümle karşılaştırıldığında önemli bir fark olacaktır.
Meşru programı kullanarak, tehdit aktörleri PuTTY yürütülebilir dosyasını derler. Bu sürüm ile yasal sürüm arasında hiçbir fark yoktur ve tamamen işlevseldir.
PuTTY’nin bilgisayar korsanları tarafından kullanılan “connect_to_host()” işlevinde bir değişiklik var. Ekteki kimlik bilgilerini kullanarak program, başarılı SSH bağlantısı üzerine yürütülecek kötü niyetli bir DAVESHELL kabuk kodu yükü Themida ile paketlenmiş bir DLL biçiminde dağıtacaktır.
DAVESHELL programı, nihai yükü doğrudan belleğe bırakmak için kullanılır: –
- AIRDRY.V2 arka kapı kötü amaçlı yazılımı
Desteklenen Komut Kimlikleri
Desteklenen birkaç komut kimliği vardır ve aşağıda bunlardan bahsettik: –
- 0x2009: Temel sistem bilgilerini yükleyin
- 0x2028: İşaret aralığını C2 sunucusu tarafından sağlanan bir değere göre güncelleyin
- 0x2029: Yeni başlangıç tarihi ve saatine kadar devre dışı bırak
- 0x2031: Geçerli yapılandırmayı yükleyin
- 0x2032: Yapılandırmayı güncelleyin
- 0x2037: Hayatta kal
- 0x2038: Konfigürasyondaki bir değere göre işaret aralığını güncelleyin
- 0x2052: C2 isteklerini ve yapılandırma verilerini şifrelemek için kullanılan AES anahtarını güncelleyin
- 0x2057: Bellekte bir eklenti indirin ve çalıştırın
Önceki sürüme kıyasla AIRDRY’nin yeni sürümüyle kullanılabilecek daha az komut var. Ancak, desteklenen komutların sayısı azaltılarak arka kapının esnekliğinden ödün verilmez.
Ayrıca, yürütülebilir dosyanın özelliklerini kullanarak, kullandığınız PuTTY sürümünün trojanize olmadığından emin olmak için ikili dosyanın ‘Simon Tatham’ tarafından dijital olarak imzalanıp imzalanmadığını kontrol edebilirsiniz.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap