Hakerzy z Korei Północnej w trakcie fałszywej rekrutacji do Amazona, proszą o ściągnięcie zbackdoorowanej wersji klienta Putty

Według opublikowanego raportu Mandiant, za ten wektor ataku odpowiedzialna jest grupa UNC4034 operująca głównie z Korei Północnej. Atak tak naprawdę jest kampanią phishingową polegającą na kontaktowaniu się za pośrednictwem e-mail z osobami poszukującymi prace i oferowaniu im wysokiego wynagrodzenia w Amazon. Na etapie rekrutacji, rekruter za pośrednictwem komunikatora WhatsApp prosi o ściągnięcie pliku ISO “amazon_assessment.iso” w którym można odnaleźć plik readme.txt z parametrami połączenia do serwera oraz zbackdoorowaną wersję klienta PuTTY zawierającą trojana AIRDRY.V2. Wszystko wskazuje na to, że kampania jest kontynuacją operacji “Dream Job” z czerwca 2020 r.

Rys. 1. Parametry połączenia z pliku Readme.txt, źródło.

Sam klient PuTTY.exe działa bez zarzutu, jednak hakerzy zmodyfikowali funkcję connect_to_host(), która podczas udanego połączenia SSH pobiera ładunek shellcode DAVESHELL w postaci pliku DDL “colorui.dll” spakowane za pomocą narzędzia Themida.

Rys. 2. Porównanie sekcji .data w oryginalnym PuTTY (strona lewa) oraz załadowanym malware (strona prawa), źródło.

Prawidłowe narzędzie colorcpl.exe (Zarządzanie Kolorami systemu Windows) z katalogu C:\Windows\System32 zostaje skopiowane do nowej lokalizacji C:\ProgramData\PackageColor

Rys. 3. Wywołanie colorcpl.exe z nowej lokalizacji za pomocą WinExec.

Trojan AIRDRY.V2 może komunikować się za pośrednictwem protokołu HTTP lub SMB próbując połączyć się na zahardkodowany adres serwera C2 pięć razy zanim wywoła funkcję sleep na 60 sek. Porównując wariant z wersją poprzednią, oprogramowanie zostało rozbudowane o szyfrowanie AES właśnie do komunikacji z serwerem dowodzenia.

Rys. 4. Diagram przepływu zastosowanego wektora ataku, źródło.

Pomimo, że atak jest formą spear-phishingu to warto sprawdzić czy posiadamy “właściwą” wersję klienta PuTTY, zwracając uwagę we Właściwościach czy nasz plik wykonywalny jest podpisany przez autora – Simona Tathama jak przedstawiono na rysunku 5 na przykładzie systemu Windows.

Rys. 5. Potwierdzenie autentyczności pliku PuTTY.exe

Źródło:

1. https://www.mandiant.com/resources/blog/dprk-whatsapp-phishing 
2. https://www.bleepingcomputer.com/news/security/hackers-trojanize-putty-ssh-client-to-backdoor-media-company/
3. https://blogs.jpcert.or.jp/en/2020/09/BLINDINGCAN.html

~tt