Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Bilgisayar korsanları PuTTY SSH istemcisini arka kapı medya şirketine trojanlaştırıyor


Siber gülen yüzü olan adam

Kuzey Koreli bilgisayar korsanları, sahte bir Amazon iş değerlendirmesinin parçası olarak hedeflerin cihazlarına arka kapıları dağıtmak için PuTTY SSH istemcisinin truva atlı sürümlerini kullanıyor.

Bu kampanyadaki yeni bir unsur, bu durumda ‘AIRDRY.V2’ olan bir arka kapıyı dağıtmak için PuTTY ve KiTTY SSH yardımcı programının truva atlanmış bir sürümünün kullanılmasıdır.

Göre Mandiant bugün yayınlanan teknik rapora göre, bu kampanyadan sorumlu tehdit kümesi ‘UNC4034’ (diğer adıyla “Temp.Hermit” veya “Labyrinth Chollima”).

Grubun en son faaliyetleri, ‘Operasyon Rüya İşiHaziran 2020’den beri devam eden kampanya bu kez medya şirketlerini hedef alıyor.

Mandiant, “Temmuz 2022’de, medya endüstrisindeki bir şirkette proaktif tehdit avlama faaliyetleri sırasında, Mandiant Managed Defense, UNC4034 olarak izlenen tehdit kümesi tarafından kullanılan yeni bir mızrak avı metodolojisi belirledi” dedi.

Kötü amaçlı yazılımı bırakmak için PuTTY SSH istemcisini kullanma

Saldırı, tehdit aktörlerinin Amazon’da kazançlı bir iş teklifiyle e-posta yoluyla hedeflerine yaklaşmasıyla başlar ve ardından bir ISO dosyasını (“amazon_assessment.iso”) paylaştıkları WhatsApp ile iletişim kurar.

ISO, bir IP adresi ve oturum açma kimlik bilgilerini ve Macun (PuTTY.exe), çok popüler bir açık kaynaklı SSH konsol uygulaması.

BleepingComputer, kimliğine bürünen tehdit aktörlerinin de farkındadır. KiTTY SSH istemcisibir PuTTY çatalı, ‘ dosya adını kullanarakAmazon-Kitty.exe‘.

Tehdit aktörleri ve kurbanlar arasında hangi tartışmaların gerçekleştiği belli olmasa da, bilgisayar korsanları kurbana ISO’yu açmasını ve ana bilgisayara bağlanmak ve bir beceri değerlendirmesi yapmak için ekteki SSH aracını ve kimlik bilgilerini kullanmasını söyledi.

Benioku.txt ISO'ya dahildir
Benioku.txt ISO’ya dahildir
Kaynak: BleepingComputer

Ancak, bilgisayar korsanları tarafından paylaşılan PuTTY, veri bölümünde kötü amaçlı bir yük içerecek şekilde değiştirildi ve kurcalanmış sürümü yasal sürümden önemli ölçüde daha büyük hale getirdi.

PuTTY yürütülebilir dosyası yasal programdan derlendiğinden, tamamen işlevseldir ve yasal sürüme tam olarak benziyor.

Kimlik avı e-postasında Truva atlı PuTTY gönderildi
Kimlik avı e-postasında Truva atlı PuTTY gönderildi (Mandiant)

Ancak, bilgisayar korsanları PuTTY’leri değiştirdi connect_to_host() Böylece, ekteki kimlik bilgilerini kullanan başarılı bir SSH bağlantısında, program Themida ile paketlenmiş bir DLL (“colorui.dll”) biçiminde kötü amaçlı bir DAVESHELL kabuk kodu yükü dağıtır.

Kötü niyetli PuTTY, kabuk kodunun başlatılmasını gizli yapmak için, kötü amaçlı DLL’yi yüklemek için meşru Windows Renk Yönetimi aracı olan “colorcpl.exe”de bir arama emri ele geçirme güvenlik açığı kullanır.

DAVESHELL, doğrudan bellekte yürütülen AIRDRY.V2 arka kapı kötü amaçlı yazılımının son yükünün damlatıcısı olarak çalışır.

PuTTY saldırı akışı
PuTTY tabanlı saldırı akışı (Mandiant)

AIRDRY.V2, 60 saniyelik bir uyku moduna geçmeden önce beş kez sabit kodlanmış üç C2 adresinden birine bağlanmaya çalışarak, adlandırılmış bir kanal üzerinden HTTP, dosya veya SMB aracılığıyla iletişim kurabilir.

Arka kapı, bir proxy sunucusu kullanmak ve aktif RDP oturumlarını izlemek için teknik kapasiteye sahipken, Mandiant tarafından incelenen sürümde bu özellikler varsayılan olarak devre dışı bırakılmıştır.

  • AIRDRY.V2 tarafından desteklenen komutlar aşağıdaki dokuz komuttur:
  • Temel sistem bilgilerini yükleyin
  • İşaret aralığını C2 sunucusu tarafından sağlanan bir değere göre güncelleyin
  • Yeni başlangıç ​​tarihi ve saatine kadar devre dışı bırak
  • Geçerli yapılandırmayı yükleyin
  • Yapılandırmayı güncelleyin
  • Hayatta kal
  • Konfigürasyondaki bir değere göre işaret aralığını güncelleyin
  • C2 isteklerini ve yapılandırma verilerini şifrelemek için kullanılan AES anahtarını güncelleyin
  • Bellekte bir eklenti indirin ve çalıştırın

AIRDRY’nin önceki sürümüyle karşılaştırıldığında, yeni varyant daha az komutu destekler, ancak eklentinin bellekte yürütülmesi ve C2 iletişimleri için AES anahtarının güncellenmesi yeni yeteneklerdir.

Desteklenen komutların sayısını azaltmak, arka kapının çok yönlülüğünü etkilemez çünkü C2’den eklentileri getirmek daha fazla cerrahi saldırı için yeni bir potansiyel açar.

PuTTY’nin truva atlanmış sürümlerini kontrol etmek için yürütülebilir dosyanın özelliklerine bakabilir ve ‘Simon Tatham’ tarafından dijital olarak imzalandığından emin olabilirsiniz.

Ne yazık ki meşru KiTTY programı normalde geliştirici tarafından imzalanmaz ve bunun yerine kötü amaçlı algılamaları kontrol etmek için VirusTotal gibi bir virüs tarama hizmetine yüklenmelidir.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.