美国安全公司 Mandiant 近日披露一起利用植入木马的 PuTTY 客户端实施的黑客攻击,木马被追踪为朝鲜黑客组织。
此次攻击事件被发现于2022年07月,这家总部位于加州的安全公司当时正在对一家媒体公司进行日常主动威胁扫描。
他们发现该公司正在使用木马版 PuTTY 和 KiTTY SSH 客户端,对这些软件鉴别发现这是一种新型鱼叉式网络钓鱼。
而这种新型鱼叉式网络钓鱼的方法,此前一直是被安全公司追踪为是一家名为 UNC4034 的朝鲜黑客组织所使用的。
据悉,攻击者先是向攻击目标发送了提供亚马逊的工作机会的电子邮件,该邮件附有攻击者的 WhatsApp 通信地址。
受害者添加好友之后,就会收到一个名为 amazon_assessment.iso 的文件包,并要求其安装该文件包进行工作评估。
上述这些步骤和我们生活中常见的钓鱼攻击好像没什么区别,只不过我们通常会被要求添加QQ或是企业微信及钉钉。
该文件包内其实包含精心设计的木马版 PuTTY 客户端,一旦运行会部署 DAVESHELL并安装后门程序 AIRDRY.V2。
经过分析,该文件包包含有两个文件:名为 amazon_assessment.iso 的可执行文件和名为 Readme.txt 的文本文件。
而这个文本文件里面更是非常详细的写出了关于 PuTTY.exe 工具的使用方法,对于不明真相的受害者来说非常贴心。
玩 Linux 服务器的朋友应该知道 PuTTY 的大名,这是一款主要运行于 Windows 系统的开源 SSH 和 Telnet 客户端。
而黑客将在官网下载的正规软进行编译后重新加密打包,如果仔细辨别会发现该版本不仅体量更大且没有数字签名。
安全人员分析发现,恶意 PuTTY 运行后会在受害者设备上部署 AIRDRY 变种木马,该后门又名为 BLINDINGCAN。
资料显示,AIRDRY 木马病毒此前曾被与朝鲜有关的黑客组织用来攻击美国国防承包商和韩国以及拉脱维亚的企业。
早期的AIRDRY支持文件传输、文件管理和命令执行等多种后门命令,新版木马已采用支持多种通信模式的插件模式。
AIRDRY:
采用C++编写,通过HTTP通信,支持Shell命令、文件传输、安全文件删除、文件管理、进程终止和进程枚举等功能。
AIRRY.V2
AIRDRY 变种后门,支持HTTP、基于文件和SMB三种通信模式,能够直接在内存中运行,将上述功能升级为件模块。
安全人员在2022年06月27日在 VirusTotal 检测到了PuTTY 可执行文件,2022年07月05日发现了相同的可执行文件。
经过对比发现,这些文件来自同一 IP 归属,并且都使用相同的诱饵主题,也就是伪装成亚马逊的招聘评估实施钓鱼。
当然黑客使用的钓鱼手段不止如此,比如在社交媒体平台冒充合法公司并发布针对加密货币开发商的虚假招聘广告。
最后,我们再来简单说一说 UNC4034 这个朝鲜黑客组织,该组织被称为 aka Temp.Hermit 或 Labyrinth Chollima。
而对于文中所谓的利用虚构的大公司招聘信息实施木马入侵,在笔者看来防范起来并不难:关键就一个:认清自我。
你要认清自身和认清现实,认真想想知名公司凭什么会给你发邮件招聘且利用聊天工具面试,却不走正规招聘流程。