Kuzey Koreli bilgisayar korsanları, sahte bir Amazon iş değerlendirmesinin parçası olarak hedeflerin cihazlarına arka kapıları dağıtmak için PuTTY SSH istemcisinin truva atlı sürümlerini kullanıyor.
Bu kampanyadaki yeni bir unsur, bu durumda ‘AIRDRY.V2’ olan bir arka kapıyı dağıtmak için PuTTY ve KiTTY SSH yardımcı programının truva atlanmış bir sürümünün kullanılmasıdır.
Göre Mandiant bugün yayınlanan teknik rapora göre, bu kampanyadan sorumlu tehdit kümesi ‘UNC4034’ (diğer adıyla “Temp.Hermit” veya “Labyrinth Chollima”).
Grubun en son faaliyetleri, ‘Operasyon Rüya İşiHaziran 2020’den beri devam eden kampanya bu kez medya şirketlerini hedef alıyor.
Mandiant, “Temmuz 2022’de, medya endüstrisindeki bir şirkette proaktif tehdit avlama faaliyetleri sırasında, Mandiant Managed Defense, UNC4034 olarak izlenen tehdit kümesi tarafından kullanılan yeni bir mızrak avı metodolojisi belirledi” dedi.
Kötü amaçlı yazılımı bırakmak için PuTTY SSH istemcisini kullanma
Saldırı, tehdit aktörlerinin Amazon’da kazançlı bir iş teklifiyle e-posta yoluyla hedeflerine yaklaşmasıyla başlar ve ardından bir ISO dosyasını (“amazon_assessment.iso”) paylaştıkları WhatsApp ile iletişim kurar.
ISO, bir IP adresi ve oturum açma kimlik bilgilerini ve Macun (PuTTY.exe), çok popüler bir açık kaynaklı SSH konsol uygulaması.
BleepingComputer, kimliğine bürünen tehdit aktörlerinin de farkındadır. KiTTY SSH istemcisibir PuTTY çatalı, ‘ dosya adını kullanarakAmazon-Kitty.exe‘.
Tehdit aktörleri ve kurbanlar arasında hangi tartışmaların gerçekleştiği belli olmasa da, bilgisayar korsanları kurbana ISO’yu açmasını ve ana bilgisayara bağlanmak ve bir beceri değerlendirmesi yapmak için ekteki SSH aracını ve kimlik bilgilerini kullanmasını söyledi.
Ancak, bilgisayar korsanları tarafından paylaşılan PuTTY, veri bölümünde kötü amaçlı bir yük içerecek şekilde değiştirildi ve kurcalanmış sürümü yasal sürümden önemli ölçüde daha büyük hale getirdi.
PuTTY yürütülebilir dosyası yasal programdan derlendiğinden, tamamen işlevseldir ve yasal sürüme tam olarak benziyor.
Ancak, bilgisayar korsanları PuTTY’leri değiştirdi connect_to_host()
Böylece, ekteki kimlik bilgilerini kullanan başarılı bir SSH bağlantısında, program Themida ile paketlenmiş bir DLL (“colorui.dll”) biçiminde kötü amaçlı bir DAVESHELL kabuk kodu yükü dağıtır.
Kötü niyetli PuTTY, kabuk kodunun başlatılmasını gizli yapmak için, kötü amaçlı DLL’yi yüklemek için meşru Windows Renk Yönetimi aracı olan “colorcpl.exe”de bir arama emri ele geçirme güvenlik açığı kullanır.
DAVESHELL, doğrudan bellekte yürütülen AIRDRY.V2 arka kapı kötü amaçlı yazılımının son yükünün damlatıcısı olarak çalışır.
AIRDRY.V2, 60 saniyelik bir uyku moduna geçmeden önce beş kez sabit kodlanmış üç C2 adresinden birine bağlanmaya çalışarak, adlandırılmış bir kanal üzerinden HTTP, dosya veya SMB aracılığıyla iletişim kurabilir.
Arka kapı, bir proxy sunucusu kullanmak ve aktif RDP oturumlarını izlemek için teknik kapasiteye sahipken, Mandiant tarafından incelenen sürümde bu özellikler varsayılan olarak devre dışı bırakılmıştır.
- AIRDRY.V2 tarafından desteklenen komutlar aşağıdaki dokuz komuttur:
- Temel sistem bilgilerini yükleyin
- İşaret aralığını C2 sunucusu tarafından sağlanan bir değere göre güncelleyin
- Yeni başlangıç tarihi ve saatine kadar devre dışı bırak
- Geçerli yapılandırmayı yükleyin
- Yapılandırmayı güncelleyin
- Hayatta kal
- Konfigürasyondaki bir değere göre işaret aralığını güncelleyin
- C2 isteklerini ve yapılandırma verilerini şifrelemek için kullanılan AES anahtarını güncelleyin
- Bellekte bir eklenti indirin ve çalıştırın
AIRDRY’nin önceki sürümüyle karşılaştırıldığında, yeni varyant daha az komutu destekler, ancak eklentinin bellekte yürütülmesi ve C2 iletişimleri için AES anahtarının güncellenmesi yeni yeteneklerdir.
Desteklenen komutların sayısını azaltmak, arka kapının çok yönlülüğünü etkilemez çünkü C2’den eklentileri getirmek daha fazla cerrahi saldırı için yeni bir potansiyel açar.
PuTTY’nin truva atlanmış sürümlerini kontrol etmek için yürütülebilir dosyanın özelliklerine bakabilir ve ‘Simon Tatham’ tarafından dijital olarak imzalandığından emin olabilirsiniz.
Ne yazık ki meşru KiTTY programı normalde geliştirici tarafından imzalanmaz ve bunun yerine kötü amaçlı algılamaları kontrol etmek için VirusTotal gibi bir virüs tarama hizmetine yüklenmelidir.