-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Hakerzy z Korei Północnej w trakcie fałszywej rekrutacji do Amazona, proszą o ściągnięcie zbackdoorowanej wersji klienta Putty

16 września 2022, 12:23 | W biegu | komentarze 4

Według opublikowanego raportu Mandiant, za ten wektor ataku odpowiedzialna jest grupa UNC4034 operująca głównie z Korei Północnej. Atak tak naprawdę jest kampanią phishingową polegającą na kontaktowaniu się za pośrednictwem e-mail z osobami poszukującymi prace i oferowaniu im wysokiego wynagrodzenia w Amazon. Na etapie rekrutacji, rekruter za pośrednictwem komunikatora WhatsApp prosi o ściągnięcie pliku ISO “amazon_assessment.iso” w którym można odnaleźć plik readme.txt z parametrami połączenia do serwera oraz zbackdoorowaną wersję klienta PuTTY zawierającą trojana AIRDRY.V2. Wszystko wskazuje na to, że kampania jest kontynuacją operacji “Dream Job” z czerwca 2020 r.

Readme.txt included in ISO

Rys. 1. Parametry połączenia z pliku Readme.txt, źródło.

Sam klient PuTTY.exe działa bez zarzutu, jednak hakerzy zmodyfikowali funkcję connect_to_host(), która podczas udanego połączenia SSH pobiera ładunek shellcode DAVESHELL w postaci pliku DDL “colorui.dll” spakowane za pomocą narzędzia Themida.

Rys. 2. Porównanie sekcji .data w oryginalnym PuTTY (strona lewa) oraz załadowanym malware (strona prawa), źródło.

Prawidłowe narzędzie colorcpl.exe (Zarządzanie Kolorami systemu Windows) z katalogu C:\Windows\System32 zostaje skopiowane do nowej lokalizacji C:\ProgramData\PackageColor

Rys. 3. Wywołanie colorcpl.exe z nowej lokalizacji za pomocą WinExec.

Trojan AIRDRY.V2 może komunikować się za pośrednictwem protokołu HTTP lub SMB próbując połączyć się na zahardkodowany adres serwera C2 pięć razy zanim wywoła funkcję sleep na 60 sek. Porównując wariant z wersją poprzednią, oprogramowanie zostało rozbudowane o szyfrowanie AES właśnie do komunikacji z serwerem dowodzenia.

PuTTY attack flowRys. 4. Diagram przepływu zastosowanego wektora ataku, źródło.

Pomimo, że atak jest formą spear-phishingu to warto sprawdzić czy posiadamy “właściwą” wersję klienta PuTTY, zwracając uwagę we Właściwościach czy nasz plik wykonywalny jest podpisany przez autora – Simona Tathama jak przedstawiono na rysunku 5 na przykładzie systemu Windows.

Rys. 5. Potwierdzenie autentyczności pliku PuTTY.exe

Źródło:

  1. https://www.mandiant.com/resources/blog/dprk-whatsapp-phishing 
  2. https://www.bleepingcomputer.com/news/security/hackers-trojanize-putty-ssh-client-to-backdoor-media-company/
  3. https://blogs.jpcert.or.jp/en/2020/09/BLINDINGCAN.html

~tt

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Pablo

    Dzięki za ostatni akapit bo nei wiedzialem jak sprawdzić czy mam dobrą wer

    Odpowiedz
  2. Erracjusz

    No dobra, ale co w przypadku jak kod zatrojanowanego PuTTY podpisze jakiś inny Simon Tatham?

    Odpowiedz
  3. Piotr

    Artykuł fejk. W Korei Północnej nie mają Internetu, a co za tym idzie e-maili i WhatsAppa. Skąd więc u nich hakerzy?

    Odpowiedz
    • Pawel

      Internet wiaderkami przynosza z korei poludniowej.

      Odpowiedz

Odpowiedz