Северокорейские хакеры разносят по сети троянизированные версии PuTTY

Северокорейские хакеры разносят по сети троянизированные версии PuTTY

Специалисты из Mandiant предполагают, что за вредоносной версией утилиты стоит группировка UNC4034.

image

По словам экспертов , атаки с использованием троянизированной версии PuTTY начинаются с электронного письма цели, в котором злоумышленники делают крайне заманчивое предложение – предлагают работу в Amazon. После этого хакеры пишут жертве в WhatsApp и отправляют вредоносный ISO-файл, якобы связанный с устройством на работу. В ISO-файле находятся текстовый файл с IP-адресом и учетными данными для входа в систему, вредоносная версия PuTTY, которая загружает дроппер DAVESHELL, который разворачивает свежий бэкдор под названием AIRDRY.

AIRDRY, также известный как BLINDINGCAN, в прошлом использовался северокорейскими хакерами для атак на американских оборонных подрядчиков и организации в Южной Корее и Латвии. Если ранние версии вредоносной программы содержали около 30 команд для передачи файлов, управления файлами и выполнения команд, то последняя версия отказалась от командного подхода в пользу плагинов, которые загружаются и выполняются в памяти.

Специалисты предполагают, что хакеры могли убедить жертву запустить PuTTY, ввести учетные данные, указанные в TXT-файле, после чего компьютер цели подключится к удаленному узлу и начнет цепочку заражения.

По мнению экспертов, такая вредоносная кампания является признаком того, что киберпреступники все чаще начинают все чаще использовать ISO-файлы для получения первоначального доступа и доставки вредоносного ПО. Кроме того, это может быть связано с решением Microsoft по умолчанию блокировать макросы Excel 4.0 (XLM или XL4) и VBA для приложений Office.


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!