Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Hakerzy z Korei Północnej w trakcie fałszywej rekrutacji do Amazona, proszą o ściągnięcie zbackdoorowanej wersji klienta Putty
Według opublikowanego raportu Mandiant, za ten wektor ataku odpowiedzialna jest grupa UNC4034 operująca głównie z Korei Północnej. Atak tak naprawdę jest kampanią phishingową polegającą na kontaktowaniu się za pośrednictwem e-mail z osobami poszukującymi prace i oferowaniu im wysokiego wynagrodzenia w Amazon. Na etapie rekrutacji, rekruter za pośrednictwem komunikatora WhatsApp prosi o ściągnięcie pliku ISO “amazon_assessment.iso” w którym można odnaleźć plik readme.txt z parametrami połączenia do serwera oraz zbackdoorowaną wersję klienta PuTTY zawierającą trojana AIRDRY.V2. Wszystko wskazuje na to, że kampania jest kontynuacją operacji “Dream Job” z czerwca 2020 r.
Rys. 1. Parametry połączenia z pliku Readme.txt, źródło.
Sam klient PuTTY.exe działa bez zarzutu, jednak hakerzy zmodyfikowali funkcję connect_to_host(), która podczas udanego połączenia SSH pobiera ładunek shellcode DAVESHELL w postaci pliku DDL “colorui.dll” spakowane za pomocą narzędzia Themida.
Rys. 2. Porównanie sekcji .data w oryginalnym PuTTY (strona lewa) oraz załadowanym malware (strona prawa), źródło.
Prawidłowe narzędzie colorcpl.exe (Zarządzanie Kolorami systemu Windows) z katalogu C:\Windows\System32 zostaje skopiowane do nowej lokalizacji C:\ProgramData\PackageColor
Rys. 3. Wywołanie colorcpl.exe z nowej lokalizacji za pomocą WinExec.
Trojan AIRDRY.V2 może komunikować się za pośrednictwem protokołu HTTP lub SMB próbując połączyć się na zahardkodowany adres serwera C2 pięć razy zanim wywoła funkcję sleep na 60 sek. Porównując wariant z wersją poprzednią, oprogramowanie zostało rozbudowane o szyfrowanie AES właśnie do komunikacji z serwerem dowodzenia.
Rys. 4. Diagram przepływu zastosowanego wektora ataku, źródło.
Pomimo, że atak jest formą spear-phishingu to warto sprawdzić czy posiadamy “właściwą” wersję klienta PuTTY, zwracając uwagę we Właściwościach czy nasz plik wykonywalny jest podpisany przez autora – Simona Tathama jak przedstawiono na rysunku 5 na przykładzie systemu Windows.
Rys. 5. Potwierdzenie autentyczności pliku PuTTY.exe
Źródło:
- https://www.mandiant.com/resources/blog/dprk-whatsapp-phishing
- https://www.bleepingcomputer.com/news/security/hackers-trojanize-putty-ssh-client-to-backdoor-media-company/
- https://blogs.jpcert.or.jp/en/2020/09/BLINDINGCAN.html
~tt
Dzięki za ostatni akapit bo nei wiedzialem jak sprawdzić czy mam dobrą wer
No dobra, ale co w przypadku jak kod zatrojanowanego PuTTY podpisze jakiś inny Simon Tatham?
Artykuł fejk. W Korei Północnej nie mają Internetu, a co za tym idzie e-maili i WhatsAppa. Skąd więc u nich hakerzy?
Internet wiaderkami przynosza z korei poludniowej.