14 września Mandiant opublikował raport dotyczący kampanii spear-phishingowej wykonywanej przez grupę UNC4034 z Korei Północnej. Atakujący kontaktują się z ofiarami przez e-mail, oferując dobrze płatną pracę w Amazon.
Następnie hakerzy proszą o przekierowanie komunikacji na WhatsApp. Tam podawane są dalsze instrukcje związane z rozmową rekrutacyjną i częścią tego jest pobranie przez ofiarę pliku ISO „amazon_assessment.iso”. Plik zawiera instrukcję „readme.txt” z adresem IP serwera i poświadczeniami oraz strojanizowanego klienta Putty (najpopularniejszy darmowy klient usług SSH, Telnet) pod nazwą „PuTTY.exe”. Następnie ofiary są prawdopodobnie instruowane, aby połączyć się przez Putty do serwera wskazanego w pliku, w celu wykonania zadań rekrutacyjnych.
Tutaj akcja się zagęszcza. Wersja klienta Putty wygląda normalnie i posiada wszystkie funkcje oryginalnego programu. Została prawidłowo skompilowana, ale uległa modyfikacji i zawiera złośliwy ładunek, przez co jest znacznie większa w porównaniu do oryginalnego pliku. Podczas wywołania funkcji „connect_to_host()” i użycia poświadczeń ze wspomnianego wyżej pliku, dostarczany jest ładunek shellcode DAVESHELL w postaci pliku DLL: „colorui.dll”. Aby pozostać trudno wykrywalnym, złośliwe Putty wykorzystuje lukę w „colorcpl.exe” (narzędzie Windows), aby załadować złośliwe DLL. Finalnie dostarczany jest trojan o nazwie „AIRDRY.V2”, który jest wykonywany bezpośrednio w pamięci. Wirus ma zapisane w kodzie adresy 3 serwerów C2 i próbuje skontaktować się 5 razy z jednym z nich, używając protokołów HTTP lub SMB. Kolejno następuje 60-sekundowa przerwa (funkcja sleep). Dodatkowo komunikacja z serwerem C2 jest szyfrowana z użyciem algorytmu AES.
Wygląda na to, że atak jest niebezpieczny i warto sprawdzić jaką wersję Putty mamy zainstalowaną na swoich komputerach. Prawidłowa wersja powinna zawierać podpis Simona Tatham. Podejrzewa się, że atakujący mogli też używać „KiTTY SSH” zamiast Putty pod nazwą „Amazon-KiTTY.exe”. W tym przypadku, oprogramowanie nie jest podpisywane przez producenta, więc zaleca się sprawdzenie sumy kontrolnej lub całego pliku w serwisach skanujących, np. VirusTotal.
Źródła:
Mandiant
Bleeping Computer
