作为虚假亚马逊工作评估的一部分,朝鲜黑客正在使用木马化版本的 PuTTY SSH 客户端在目标设备上部署后门。
该活动中的一个新元素是使用木马化版本的 PuTTY 和 KiTTY SSH 实用程序来部署后门,在本例中为“AIRDRY.V2”。
根据 今天发布的Mandiant 技术报告,负责此次活动的威胁集群是“UNC4034”(又名“Temp.Hermit”或“Labyrinth Chollima”)。
该组织的最新活动似乎是“梦想工作行动”活动的延续,该活动自 2020 年 6 月以来一直在进行,这次针对的是媒体公司。
Mandiant 解释说:“2022 年 7 月,在媒体行业的一家公司进行主动威胁搜寻活动期间,Mandiant Managed Defense 发现了一种新的鱼叉式网络钓鱼方法,该方法被跟踪为 UNC4034 的威胁集群所采用。”
使用 PuTTY SSH 客户端删除恶意软件
攻击从威胁参与者通过电子邮件接近他们的目标开始,并在亚马逊提供丰厚的工作机会,然后与 WhatsApp 进行通信,在那里他们共享一个 ISO 文件(“amazon_assessment.iso”)。
ISO 包括一个文本文件(“readme.txt”),其中包含一个 IP 地址和登录凭据,以及 一个非常流行的开源 SSH 控制台应用程序PuTTY (PuTTY.exe) 的木马化版本。
ZZQIDC还知道威胁参与者使用 文件名“ Amazon-KiTTY.exe ”冒充KiTTY SSH 客户端(PuTTY 的一个分支)。
虽然尚不清楚威胁参与者和受害者之间发生了什么讨论,但黑客可能会告诉受害者打开 ISO 并使用随附的 SSH 工具和凭据连接到主机并执行技能评估。
来源:BleepingComputer
然而,黑客共享的 PuTTY 被修改为在其数据部分包含恶意负载,使得篡改版本明显大于合法版本。
由于 PuTTY 可执行文件是从合法程序编译而来的,因此它功能齐全并且看起来与合法版本完全一样。
然而,黑客修改了 PuTTY 的 connect_to_host() 功能,以便在使用随附的凭据成功连接 SSH 后,该程序以与 Themida 打包的 DLL(“colorui.dll”)形式部署恶意 DAVESHELL shellcode 有效负载。
为了隐蔽启动 shellcode,恶意 PuTTY 使用合法 Windows 颜色管理工具“colorcpl.exe”中的搜索顺序劫持漏洞来加载恶意 DLL。
DAVESHELL 作为最终有效载荷 AIRDRY.V2 后门恶意软件的释放器运行,该恶意软件直接在内存中执行。
AIRDRY.V2 可以通过命名管道通过 HTTP、文件或 SMB 进行通信,尝试连接到三个硬编码 C2 地址之一五次,然后进入 60 秒的睡眠状态。
虽然后门具有使用代理服务器和监控活动 RDP 会话的技术能力,但 Mandiant 检查的版本默认禁用这些功能。
- AIRDRY.V2 支持的命令有以下九种:
- 上传系统基本信息
- 根据 C2 服务器提供的值更新信标间隔
- 停用直到新的开始日期和时间
- 上传当前配置
- 更新配置
- 活着
- 根据配置中的值更新信标间隔
- 更新用于加密 C2 请求和配置数据的 AES 密钥
- 在内存中下载并执行插件
与之前版本的 AIRDRY 相比,新版本支持的命令更少,但在内存中执行插件和更新 C2 通信的 AES 密钥是新功能。
减少支持的命令数量不会影响后门的多功能性,因为从 C2 获取插件为更多的外科攻击开辟了新的潜力。
要检查 PuTTY 的特洛伊木马版本,您可以查看可执行文件的属性并确保它由“Simon Tatham”进行数字签名。
不幸的是,合法的 KiTTY 程序通常不会由开发人员签名,而是应该上传到病毒扫描服务,例如 VirusTotal,以检查恶意检测。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客将PuTTY SSH客户端木马化为后门媒体公司
