Bilgisayar Korsanları, Arka Kapıları (Backdoors) Dağıtmak Ve WhatsApp Üzerinden İletişim Kurmak İçin PuTTY SSH İstemcisini Kullanıyor

Kuzey Kore'den gelen düşmanlar, PuTTY SSH istemcisinin truva atlı sürümlerini kullanarak hedeflerin cihazlarına kritik arka kapılar (Backdoors) dağıtıyor. Arka kapıları (Backdoors) cihazlarına koymak için sahte bir Amazon iş başvurusu gibi davranmak.

Bu kampanyada, PuTTY ve KiTTY SSH yardımcı programlarının truva atlı bir versiyonunun bir arka kapı (Backdoor) dağıtmanın bir aracı olarak kullanılması ilginç bir unsurdur. Bu durumda, PuTTY ve KiTTY SSH yardımcı programı 'AIRDRY. V2'dir.

Mandiant'taki siber güvenlik araştırmacıları bu kampanyayı 'UNC4034' olarak bilinen tehdit grubuyla ilişkilendirdiler ve aşağıda bu grubun diğer isimlerinden bahsettik:

• Temp[.]Hermit
• [Labyrinth Chollima]

Grubun yürüttüğü son faaliyetlerde, 'Rüya İşi Harekâtı (Operation Dream Job)' kampanyasının sürdürüldüğü anlaşılıyor. Haziran 2020'den bu yana devam eden bu kampanya kapsamında şu anda medya şirketleri hedef alınıyor.

PuTTY SSH İstemcisi Ve WhatsApp'tan Yararlanma

Tehdit aktörleri, saldırıya, Amazon'dan kazançlı bir iş teklifi ile hedeflerine e-posta göndererek başlar ve onları saldırıya çekmek için onları cezbeder.

Bir sonraki adımda, ISO görüntüsünü içeren bir dosyayı paylaşacakları WhatsApp aracılığıyla iletişim kuracaklar:

• amazon_assessment.iso

ISO'ya dahil edilen dosyalar aşağıdaki gibidir:

• Metin dosyası ("readme.txt")
• IP adresi
• Giriş kimlik bilgileri
• PuTTY'nin truva atlı bir sürümü (PuTTY.exe)

Tehdit aktörlerinin 'Amazon-KiTTY(.)exe' dosya adını kullandıklarına inanılmaktadır, KiTTY SSH istemcisinin kimliğine bürünmek için. Tehdit aktörleri ve mağdurlar arasındaki tartışmaya gelince, aralarında neyin tartışıldığı bilinmemektedir.

Bilgisayar korsanları tarafından paylaşılan PuTTY uygulamasının veri bölümünde kötü amaçlı bir yük yüklüydü. Sonuç olarak, yasal sürümün boyutunda, kurcalanmış sürüme kıyasla önemli bir fark olacaktır.

Meşru programı kullanarak, tehdit aktörleri PuTTY yürütülebilir dosyasını derler. Bu sürüm ile yasal sürüm arasında hiçbir fark yoktur ve tamamen işlevseldir.

PuTTY'nin bilgisayar korsanları tarafından kullanılan "connect_to_host()" işlevinde bir değişiklik var. Ekteki kimlik bilgilerini kullanarak, program başarılı SSH bağlantısı üzerine yürütülecek kötü amaçlı bir DAVESHELL kabuk kodu yükü olan Themida ile paketlenmiş bir DLL biçiminde dağıtacaktır.

DAVESHELL programı, son yükü doğrudan belleğe bırakmak için kullanılır:

• AIRDRY.V2 arka kapı kötü amaçlı yazılımı

Desteklenen Komut Kimlikleri (IDs)

Desteklenen birkaç komut kimliği (id) vardır ve burada aşağıda bunlardan bahsettik:

• 0x2009: Temel sistem bilgilerini karşıya yükleme
• 0x2028: İşaret aralığını C2 sunucusu tarafından sağlanan bir değere göre güncelleştirme
• 0x2029: Yeni başlangıç tarihi ve saatine kadar devre dışı bırakma
• 0x2031: Geçerli yapılandırmayı yükleme
• 0x2032: Yapılandırmayı güncelleme
• 0x2037: Canlı tutma
• 0x2038: İşaret aralığını yapılandırmadaki bir değere göre güncelleştirme
• 0x2052: C2 isteklerini ve yapılandırma verilerini şifrelemek için kullanılan AES anahtarını güncelleme
• 0x2057: Bellekte bir eklenti indirin ve çalıştırma

Önceki sürüme kıyasla AIRDRY'ın yeni sürümüyle kullanılabilecek daha az komut vardır. Bununla birlikte, desteklenen komut sayısı azaltılarak arka kapının esnekliğinden ödün verilmez.

Ayrıca, yürütülebilir dosyanın özelliklerini kullanarak, kullandığınız PuTTY sürümünün truva atı olmadığından emin olmak için ikilinin 'Simon Tatham' tarafından dijital olarak imzalanıp imzalanmadığını kontrol edebilirsiniz.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.