Un groupe de pirates utilise une version manipulée de l’outil SSH PuTTY pour injecter des logiciels malveillants sur les appareils de leurs victimes.
Les pirates ayant des liens avec la Corée du Nord utilisent une version compromise de l’utilitaire PuTTY SSH pour créer une porte dérobée étiquetée « AIRDRY.V2” à installer sur les appareils de leurs cibles. En fin de compte, cela permet aux attaquants de télécharger et d’exécuter n’importe quel plug-in.
UNC4034 utilise une nouvelle méthode de harponnage
Les chercheurs en sécurité de Mandiant ont identifié un groupe de menaces derrière les attaques contre une entreprise de médias nommée « UNC4034“. Les pirates, à qui Mandiant attribue des connexions nord-coréennes, ont utilisé un nouveau type de méthode de harponnage en utilisant une version manipulée du populaire outil SSH PuTTY.
Les chercheurs soupçonnent que l’activité détectée est une extension de la « Opération Emploi de Rêvecampagne contre laquelle Clearsky Cyber Security avait mis en garde il y a plus de deux ans.
La version manipulée de PuTTY charge une DLL malveillante lors de son exécution
Les pirates lancent l’attaque en envoyant par e-mail à la personne cible une offre prétendument lucrative pour un emploi chez Amazon. Après que la communication initiée ait été déplacée vers le messager WhatsApp, l’attaquant y a partagé un fichier ISO avec le nom « amazon_assessment.iso» avec sa victime.
En plus d’un fichier Lisezmoi.txt avec des informations d’identification et une adresse IP, le fichier contient une version trojanisée du célèbre utilitaire SSH PuTTY. L’application fournit une charge utile malveillante qui rend l’exécutable PuTTY.exe beaucoup plus volumineux que l’original. Mais celui qui démarre le programme ne sera pas surpris au début. PuTTY est toujours entièrement fonctionnel et ressemble à la version légitime.
Néanmoins, il s’est passé beaucoup de choses sous le capot. Parce que la fonctionconnect_to_host() » par PuTTY exécute une charge utile de shellcode DAVESHELL malveillante sous la forme d’un « colorui.dll » dehors. Pour que cela passe inaperçu, le programme utilise une vulnérabilité dans l’outil de gestion des couleurs de Windows « colorcpl.exe“.
Malware AIRDRY permet aux pirates d’exécuter n’importe quel plugin
Cependant, le DAVESHELL exécuté par PuTTY n’agit que comme un compte-gouttes. La charge utile finale est le logiciel malveillant de porte dérobée AIRDRY.V2, qui communique parfois via HTTP ou SMB à l’aide d’un canal nommé. Il tente de se connecter cinq fois à l’une des trois adresses du serveur de commande et de contrôle (C2) codées en dur avant de s’arrêter pendant 60 secondes. Techniquement, la porte dérobée est même capable d’accéder à un serveur proxy et de surveiller les sessions RDP actives. Cependant, ces fonctionnalités sont désactivées dans la version Mandiant examinée.
Par rapport à une version antérieure d’AIRDRY, le nombre de commandes prises en charge a considérablement diminué. Au lieu de trente, AIRDRY.V2 ne peut exécuter que neuf commandes. Cependant, le malware conserve sa polyvalence en étant capable de récupérer et d’exécuter des plugins à partir du C2 chaque fois que nécessaire.