Application Cliente Putty

Une menace avec un lien avec la Corée du Nord a été découverte en utilisant une « nouvelle méthodologie de phishing harpon » qui implique l’utilisation de versions trojanisées du client PuTTY SSH et Telnet.

La société de renseignement sur les menaces Mandiant, propriété de Google, a attribué la nouvelle campagne à un groupe de menaces émergentes qu’elle suit sous le nom UNC4034.

« UNC4034 a établi une communication avec la victime via WhatsApp et l’a incitée à télécharger un package ISO malveillant concernant une fausse offre d’emploi qui a conduit au déploiement de la porte dérobée AIRDRY.V2 via une instance trojanisée de l’utilitaire PuTTY », ont déclaré les chercheurs de Mandiant. a dit.

La Cyber-Sécurité

L’utilisation de leurres d’emploi fabriqués comme voie de distribution de logiciels malveillants est une tactique souvent utilisée par les acteurs nord-coréens parrainés par l’État, y compris le groupe Lazarus, dans le cadre d’une campagne durable appelée Operation Dream Job.

Le point d’entrée de l’attaque est un fichier ISO qui se fait passer pour une évaluation Amazon dans le cadre d’une opportunité d’emploi potentielle chez le géant de la technologie. Le fichier a été partagé sur WhatApp après avoir établi un premier contact par e-mail.

Publicité
Hackers Nord-Coréens

L’archive, pour sa part, contient un fichier texte contenant une adresse IP et des identifiants de connexion, ainsi qu’une version modifiée de PuTTY qui, à son tour, charge un compte-gouttes appelé DAVESHELL, qui déploie une nouvelle variante d’une porte dérobée appelée AIRDRY.

Il est probable que l’auteur de la menace ait convaincu la victime de lancer une session PuTTY et d’utiliser les informations d’identification fournies dans le fichier TXT pour se connecter à l’hôte distant, activant ainsi l’infection.

AIRDRY, également connu sous le nom de BLINDINGCAN, a été utilisé par le passé par des pirates informatiques liés à la Corée du Nord pour frapper des sous-traitants et des entités de la défense américaine en Corée du Sud et en Lettonie.

Alors que les versions antérieures du logiciel malveillant comportaient près de 30 commandes pour le transfert de fichiers, la gestion de fichiers et l’exécution de commandes, la dernière version a été trouvée pour éviter l’approche basée sur les commandes en faveur de plugins qui sont téléchargés et exécutés en mémoire.

La Cyber-Sécurité

Mandiant a déclaré qu’il était en mesure de contenir le compromis avant que toute autre activité post-exploitation puisse avoir lieu après le déploiement de l’implant.

Ce développement est un autre signe que l’utilisation de fichiers ISO pour l’accès initial gagne du terrain parmi les acteurs de la menace pour fournir à la fois des logiciels malveillants de base et ciblés.

Ce changement est également attribuable à la décision de Microsoft de bloquer par défaut les macros Excel 4.0 (XLM ou XL4) et Visual Basic pour Applications (VBA) pour les applications Office téléchargées depuis Internet.


Rate this post
Publicité
Article précédentGuild of Guardians s’associe aux plus grands noms de l’esport pour développer le jeu Web3
Article suivantConseils, outils et techniques de dépannage Windows
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici