Tin tặc Triều Tiên phát tán các phiên bản Trojanized của ứng dụng khách PuTTY

Ứng dụng khách PuTTY

Một mối đe dọa với mối quan hệ đã được phát hiện sử dụng một “phương pháp phish giáo mới” liên quan đến việc sử dụng các phiên bản trojanized của ứng dụng khách PuTTY SSH và Telnet.

Công ty tình báo mối đe dọa thuộc sở hữu của Google, Mandiant quy kết chiến dịch mới này là một nhóm mối đe dọa mới nổi mà nó theo dõi dưới tên UNC4034.

Các nhà nghiên cứu của Mandiant cho biết: “UNC4034 đã thiết lập liên lạc với nạn nhân qua WhatsApp và dụ họ tải xuống gói ISO độc hại liên quan đến một lời mời làm việc giả mạo dẫn đến việc triển khai cửa hậu AIRDRY.V2 thông qua một phiên bản trojanized của tiện ích PuTTY”, các nhà nghiên cứu của Mandiant cho biết.

Việc sử dụng các chiêu dụ việc làm bịa đặt như một con đường phát tán là một chiến thuật thường được các tổ chức do nhà nước Bắc Triều Tiên tài trợ, bao gồm cả Tập đoàn Lazarus, sử dụng như một phần của chiến dịch lâu dài có tên là Operation Dream Job.

Điểm khởi đầu của cuộc tấn công là một tệp ISO giả mạo Bản đánh giá của Amazon như một phần của cơ hội việc làm tiềm năng tại gã khổng lồ công nghệ. Tệp được chia sẻ qua WhatApp sau khi thiết lập liên hệ ban đầu qua email.

Tin tặc Bắc Triều Tiên

Về phần mình, kho lưu trữ chứa một tệp văn bản chứa địa chỉ IP và thông tin đăng nhập và phiên bản thay đổi của PuTTY, đến lượt nó, tải một ống nhỏ giọt có tên DAVESHELL, triển khai một biến thể mới hơn của cửa sau có tên AIRDRY.

Xem tiếp:   Tin tặc Iran bị nghi ngờ đã nhắm mục tiêu vào một số tổ chức của Israel để hoạt động gián điệp

Có khả năng tác nhân đe dọa đã thuyết phục nạn nhân khởi chạy phiên PuTTY và sử dụng thông tin đăng nhập được cung cấp trong tệp TXT để kết nối với máy chủ từ xa, kích hoạt hiệu quả sự lây nhiễm.

AIRDRY, còn được gọi là BLINDINGCAN, trong quá khứ đã được sử dụng bởi các tin tặc có liên hệ với Triều Tiên để tấn công các nhà thầu và thực thể quốc phòng của Mỹ ở và Latvia.

Trong khi các phiên bản trước của phần mềm độc hại này đi kèm với gần 30 lệnh để truyền tệp, quản lý tệp và thực thi lệnh, thì phiên bản mới nhất đã được phát hiện tránh cách tiếp cận dựa trên lệnh có lợi cho các plugin được tải xuống và thực thi trong bộ nhớ.

Mandiant cho biết họ có thể ngăn chặn thỏa hiệp trước khi bất kỳ hoạt động hậu khai thác nào có thể diễn ra sau khi triển khai thiết bị cấy ghép.

Sự phát triển này là một dấu hiệu khác cho thấy việc sử dụng các tệp ISO để truy cập ban đầu đang thu hút được sự chú ý của các tác nhân đe dọa để cung cấp cả phần mềm độc hại hàng hóa và mục tiêu.

Sự thay đổi này cũng là do quyết định của Microsoft chặn macro Excel 4.0 (XLM hoặc XL4) và Visual Basic for Applications (VBA) cho các ứng dụng Office được tải xuống từ internet theo mặc định.

Xem tiếp:   Hoa Kỳ thu giữ tiền điện tử trị giá 30 triệu đô la bị đánh cắp bởi tin tặc Triều Tiên

.

Related Posts

Check Also

Tin tặc sử dụng ứng dụng OAuth độc hại để chiếm dụng máy chủ email

Hôm thứ Năm, Microsoft đã cảnh báo về một cuộc tấn công đối mặt với …