تجهیز کلاینت PuTTY SSH برای استقرار backdoor و سواستفاده از واتس‌اپ

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir hackers weaponize putty ssh 1
مهاجمان متعلق به کره شمالی با استفاده از نسخه‌های تروجانیزه شده کلاینت PuTTY SSH، توانستند backdoor‌های مهمی را با تظاهر به‌عنوان یک برنامه شغلی جعلی آمازون برای قرار دادن backdoor بر روی دستگاه‌های هدف، مستقر کنند.

یک المان جالب در این کمپین، این است که یک نسخه تروجانیزه شده از ابزار‌های PuTTY و KiTTY SSH به‌عنوان ابزاری برای استقرار یک backdoor استفاده شده است. در‌حالی‌که در این مورد، ابزار PuTTY و KITTY SSH هر دور 'AIRDRY.V2' هستند.

takian.ir hackers weaponize putty ssh 2

محققان امنیت سایبری در Mandiant این کمپین را با گروه تهدید معروف به "UNC4034" مرتبط کرده‌اند و در زیر نام‌های دیگر این گروه را ذکر کرده‌ایم :

Temp[.]Hermit
[Labyrinth Chollima]

در آخرین فعالیت‌های انجام شده توسط این گروه، به نظر می‌رسد که کمپین "عملیات شغل رویایی" ادامه‌دارد. به‌عنوان بخشی از این کمپین که از ژوئن ٢٠٢٠ آغاز شده است، شرکت‌های رسانه‌ای در این زمان هدف قرار‌گرفته‌اند.

بهره‌برداری از PuTTY SSH Client و WhatsApp
عاملان تهدید حمله را با ارسال ایمیل به اهداف خود با پیشنهاد شغلی سودآور از جانب آمازون آغاز می‌کنند تا آنها را به سمت‌و‌سوی حمله بکشانند.

در مرحله بعد، آنها از طریق واتس اپ ارتباط برقرار می‌کنند، جایی که آنها یک فایل حاوی ایمیج ISO را به اشتراک می‌گذارند :

amazon_assessment.iso

فایل‌های موجود در ISO به شرح زیر است :

یک فایل متنی ("readme.txt")
یک آدرس IP
اعتبارنامه ورود
یک نسخه تروجانیزه شده PuTTY (PuTTY.exe)

اعتقاد بر این است که عوامل تهدید از نام فایل "Amazon-KiTTY[.]exe" برای جعل هویت کلاینت KiTTY SSH استفاده کرده‌اند. در مورد‌بحث بین عوامل تهدید و قربانیان، مشخص نیست که چه چیزی بین آنها بحث شده است.

یک payload مخرب در بخش داده برنامه PuTTY نصب شده بود که توسط هکر‌ها به اشتراک گذاشته شده بود. در نتیجه، تفاوت قابل توجهی در اندازه نسخه قانونی در مقایسه با نسخه دستکاری شده وجود خواهد داشت.

takian.ir hackers weaponize putty ssh 3

با استفاده از برنامه قانونی، عوامل تهدید فایل اجرایی PuTTY را کامپایل می‌کنند. این نسخه هیچ تفاوتی با نسخه قانونی ندارد و کاملا کاربردی است.

یک تغییر در فانکشن"connect_to_host ()" در PuTTY وجود دارد که توسط هکر‌ها استفاده می‌شود. با استفاده از اعتبارنامه‌های محدود شده، برنامه در قالب یک DLL پک شده با Themida یک paylaod مخرب shell کد DAVESHELL را مستقر می‌کند که پس از اتصال SSH موفقیت‌آمیز اجرا می‌شود.

برنامه DAVESHELL برای مستقر کردن مستقیم paylaod نهایی به حافظه استفاده می‌شود :

بدافزار AIRDRY. V2 Backdoor
شناسه‌های کامند پشتیبانی شده

چندین شناسه فرمان پشتیبانی شده وجود دارد که در زیر به آنها اشاره کرده‌ایم :

0x2009 : اطلاعات اولیه سیستم را بارگذاری میکند.
0x2028 : فاصله beacon را براساس مقدار ارائه‌شده توسط سرور C2 بروزرسانی میکند.
0x2029 : تا تاریخ و زمان شروع جدید غیرفعال می‌شود.
0x2031 : پیکربندی فعلی را آپلود میکند.
0x2032 : پیکربندی را بروزرسانی مینماید.
0x2037 : آنرا فعال نگه میدارد.
0x20368 : فاصله beacon را بر اساس مقدار موجود در پیکربندی به‌روزرسانی میکند.
0x2052 : کلید AES مورد استفاده برای رمزگذاری درخواست‌های C2 و داده‌های پیکربندی را بروزرسانی میکند.
0x2057 : یک افزونه را در حافظه دانلود و اجرا میکند.

در مقایسه با نسخه قبلی کامند‌های کم‌تری وجود دارد که می‌توان با نسخه جدید AIRDRY استفاده کرد. با‌این‌حال، انعطاف‌پذیری backdoor با کاهش تعداد کامند‌های پشتیبانی شده به خطر نمی‌افتد.

علاوه بر این، با استفاده از ویژگی‌های فایل اجرایی، می‌توانید بررسی کنید که آیا باینری به‌صورت دیجیتالی توسط "Simon Tatham" تایید شده است تا مطمئن شوید که نسخه PuTTY مورد استفاده شما تروجانیزه نشده است.

برچسب ها: AIRDRY, PuTTY, DAVESHELL, PuTTY SSH Client, Labyrinth Chollima, UNC4034, AIRDRY.V2, KiTTY SSH, PuTTY SSH, Themida, Payload, SSH, Trojan, واتساپ, Hacker, malware, تروجان, Cyber Security, حملات سایبری, WhatsApp, backdoor, هکر, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ