Северокорейские хакеры разносят по сети троянизированные версии PuTTY

Пн 19 Сентябрь 2022 20:12

По словам экспертов, атаки с использованием троянизированной версии PuTTY начинаются с электронного письма цели, в котором злоумышленники делают крайне заманчивое предложение – предлагают работу в Amazon. После этого хакеры пишут жертве в WhatsApp и отправляют вредоносный ISO-файл, якобы связанный с устройством на работу. В ISO-файле находятся текстовый файл с IP-адресом и учетными данными для входа в систему, вредоносная версия PuTTY, которая загружает дроппер DAVESHELL, который разворачивает свежий бэкдор под названием AIRDRY.

AIRDRY, также известный как BLINDINGCAN, в прошлом использовался северокорейскими хакерами для атак на американских оборонных подрядчиков и организации в Южной Корее и Латвии. Если ранние версии вредоносной программы содержали около 30 команд для передачи файлов, управления файлами и выполнения команд, то последняя версия отказалась от командного подхода в пользу плагинов, которые загружаются и выполняются в памяти.

Специалисты предполагают, что хакеры могли убедить жертву запустить PuTTY, ввести учетные данные, указанные в TXT-файле, после чего компьютер цели подключится к удаленному узлу и начнет цепочку заражения.

По мнению экспертов, такая вредоносная кампания является признаком того, что киберпреступники все чаще начинают все чаще использовать ISO-файлы для получения первоначального доступа и доставки вредоносного ПО. Кроме того, это может быть связано с решением Microsoft по умолчанию блокировать макросы Excel 4.0 (XLM или XL4) и VBA для приложений Office.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 259 дней 23 часа 41 минута 26 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.