Peretas Korea Utara Menyebarkan Versi Trojan dari Aplikasi Klien Putty

  • Bagikan
PuTTY Client Application

Beritaini.top Peretas Korea Utara Menyebarkan Versi Trojan dari Aplikasi Klien Putty

Aplikasi Klien Putty

Ancaman dengan perhubungan Korea Utara telah ditemukan dengan memanfaatkan “metodologi spear phish baru” yang melibatkan penggunaan versi trojan dari PuTTY SSH dan klien Telnet.

Perusahaan intelijen ancaman milik Google, Mandiant, mengaitkan kampanye baru dengan klaster ancaman yang muncul yang dilacaknya dengan nama UNC4034.

“UNC4034 menjalin komunikasi dengan korban melalui WhatsApp dan membujuk mereka untuk mengunduh paket ISO berbahaya mengenai tawaran pekerjaan palsu yang mengarah pada penyebaran pintu belakang AIRDRY.V2 melalui contoh utilitas Putty yang di-trojan,” peneliti Mandiant dikatakan.

Keamanan cyber

Pemanfaatan umpan pekerjaan palsu sebagai jalur untuk distribusi malware adalah taktik yang sering digunakan oleh aktor yang disponsori negara Korea Utara, termasuk Lazarus Group, sebagai bagian dari kampanye abadi yang disebut Operation Dream Job.

Titik masuk serangan adalah file ISO yang menyamar sebagai Penilaian Amazon sebagai bagian dari peluang kerja potensial di raksasa teknologi. File dibagikan melalui WhatApp setelah menjalin kontak awal melalui email.

Hacker Korea Utara

Arsip, pada bagiannya, menyimpan file teks yang berisi alamat IP dan kredensial login, dan versi Putty yang diubah yang, pada gilirannya, memuat penetes yang disebut DAVESHELL, yang menyebarkan varian lebih baru dari pintu belakang yang dijuluki AIRDRY.

Kemungkinan pelaku ancaman meyakinkan korban untuk meluncurkan sesi Putty dan menggunakan kredensial yang disediakan dalam file TXT untuk terhubung ke host jarak jauh, yang secara efektif mengaktifkan infeksi.

AIRDRY, juga dikenal sebagai BLINDINGCAN, di masa lalu telah digunakan oleh peretas yang terkait dengan Korea Utara untuk menyerang kontraktor dan entitas pertahanan AS di Korea Selatan dan Latvia.

Sementara versi sebelumnya dari malware datang dengan hampir 30 perintah untuk transfer file, manajemen file, dan eksekusi perintah, versi terbaru telah ditemukan untuk menghindari pendekatan berbasis perintah yang mendukung plugin yang diunduh dan dieksekusi di memori.

Keamanan cyber

Mandiant mengatakan pihaknya mampu menahan kompromi sebelum kegiatan pasca-eksploitasi lebih lanjut dapat terjadi setelah pemasangan implan.

Perkembangan ini merupakan tanda lain bahwa penggunaan file ISO untuk akses awal mendapatkan daya tarik di antara pelaku ancaman untuk mengirimkan malware komoditas dan target.

Pergeseran ini juga disebabkan oleh keputusan Microsoft untuk memblokir makro Excel 4.0 (XLM atau XL4) dan Visual Basic for Applications (VBA) untuk aplikasi Office yang diunduh dari internet secara default.

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.