Digital Eliteboard - Das große Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software PuTTY: Hacker verteilen Malware durch manipuliertes SSH-Tool

Hacker mit Verbindungen nach Nordkorea setzen eine manipulierte Version des SSH-Dienstprogramms PuTTY ein, um eine Backdoor mit der Bezeichnung “AIRDRY.V2” auf den Geräten ihrer Zielpersonen zu installieren. Diese erlaubt es den Angreifern schließlich beliebige Plugins nachzuladen und auszuführen.

UNC4034 setzt auf neuartige Spear-Phish-Methode​

Sicherheitsexperten von Mandiant identifizierten laut einem
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
ein hinter den Angriffen auf ein Unternehmen der Medienbranche stehendes Bedrohungscluster mit dem Namen “UNC4034“. Die Hacker, denen Mandiant nordkoreanische Verbindungen zuschreibt, setzten dabei auf eine neuartige Spear-Phish-Methode unter Verwendung einer manipulierten Version des beliebten SSH-Tools PuTTY.

Die Forscher vermuten, dass es sich bei der erkannten Aktivität um eine Erweiterung der “Operation Dream Job“-Kampagne handelt, über die Clearsky Cyber Security bereits
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
.

Manipulierte PuTTY-Version lädt bei Auführung eine bösartige DLL nach​

Die Hacker leiten den Angriff ein, indem sie der Zielperson per E-Mail ein vermeintlich lukratives Angebot für einen Job bei Amazon zukommen lassen. Nach einer Verlagerung der eingeleiteten Kommunikation auf den Messenger WhatsApp teilt der Angreifer dort eine ISO-Datei mit dem Namen “amazon_assessment.iso” mit seinem Opfer.

Neben einer Readme.txt mit Anmeldedaten sowie einer IP-Adresse enthält die Datei eine trojanisierte Version des beliebten SSH-Dienstprogramms PuTTY. Dabei liefert die Anwendung eine schadhafte Nutzlast mit, die die ausführbare PuTTY.exe wesentlich größer macht als das Original. Doch wer das Programm startet, wird zunächst keine Überraschung feststellen. PuTTY ist weiterhin voll funktionsfähig und sieht genauso aus wie die legitime Version.
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
Die manipulierte PuTTY-Version sieht aus wie das Original
Quelle:
Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Dennoch hat sich unter der Haube einiges getan. Denn die Funktion “connect_to_host()” von PuTTY führt bei erfolgreicher SSH-Verbindung mit den Anmeldedaten aus der Readme.txt eine bösartige DAVESHELL-Shellcode-Nutzlast in Form einer “colorui.dll” aus. Damit dies unbemerkt passiert, nutzt das Programm eine Schwachstelle in dem Windows-Farbmanagement-Tool “colorcpl.exe“.

Malware AIRDRY erlaubt Hackern die Ausführung beliebiger Plugins​

Die durch PuTTY ausgeführte DAVESHELL fungiert jedoch lediglich als Dropper. Die endgültige Nutzlast ist die Backdoor-Malware AIRDRY.V2, die mitunter über HTTP oder SMB über eine Named Pipe kommuniziert. Sie versucht sich fünfmal zu einer der drei fest codierten Command-and-Control-Server-Adressen (C2) zu verbinden, bevor sie eine 60-sekündige Pause einlegt. Technisch ist die Backdoor sogar in der Lage, auf einen Proxy-Server zurückzugreifen und aktive RDP-Sitzungen zu überwachen. Doch diese Funktionen sind in der von Mandiant untersuchten Version deaktiviert.

Im Vergleich zu einer früheren Version von AIRDRY hat die Anzahl der unterstützten Befehle deutlich nachgelassen. Statt dreißig kann AIRDRY.V2 nur noch neun Befehle ausführen. Dennoch bleibt die Vielseitigkeit der Malware dadurch erhalten, dass sie bei Bedarf jederzeit Plugins vom C2 abrufen und ausführen kann.

Tarnkappe.info
 
Oben