Eine Gruppe von Hackern die Verbindungen nach Nordkorea aufweisen, verwendet eine manipulierte Version des SSH-Tools PuTTY um Malware auf den Geräten ihrer Opfer zu verbreiten. Die Hacker setzen dabei auf eine neuartige Spear-Phish-Methode, bei der sie ihren Zielpersonen vermeintlich lukrative Jobangebote bei Amazon unterbreiten. Die manipulierte Version des SSH-Tools wird dabei als Teil einer ISO-Datei mit dem Namen "amazon_assessment.iso" getarnt und den Opfern zur Verfügung gestellt.
Manipulierte PuTTY-Version mit bösartiger Nutzlast
Die manipulierte PuTTY-Version die mit der Backdoor-Malware AIRDRY.V2 infiziert ist, sieht auf den ersten Blick aus wie das Original und funktioniert ebenfalls genauso. Doch unter der Haube hat sich einiges verändert. Bei erfolgreicher SSH-Verbindung führt die Funktion "connect_to_host()" von PuTTY eine bösartige DAVESHELL-Shellcode-Nutzlast in Form einer "colorui.dll" aus. Dies geschieht meist unbemerkt, da das Programm eine Schwachstelle im Windows-Farbmanagement-Tool "colorcpl.exe" ausnutzt.
AIRDRY.Malware ermöglicht Ausführung beliebiger Plugins
Die von PuTTY ausgeführte DAVESHELL fungiert lediglich als Dropper. Die endgültige Malware ist die Backdoor AIRDRY.V2 die es den Hackern ermöglicht, beliebige Plugins nachzuladen und auszuführen. Die Malware kommuniziert mitunter über HTTP oder SMB über eine Named Pipe und versucht sich mehrmals mit fest codierten Command-and-Control-Server-Adressen (C2) zu verbinden. AIRDRY.V2 kann auch auf Proxy-Server zurückgreifen und aktive RDP-Sitzungen überwachen.
Gefahren durch manipulierte PuTTY-Version
Die Verwendung von manipulierten Versionen von SSH-Tools wie PuTTY stellt eine große Gefahr dar da sie es Hackern ermöglicht auf einfache Weise Malware auf den Geräten ihrer Opfer zu installieren. Die Tarnung der Malware als legitimes Programm macht es für den Nutzer schwierig, den Betrug zu erkennen. Es ist deshalb wichtig; dass Nutzer immer auf die Quelle der von ihnen heruntergeladenen Programme achten und nur vertrauenswürdige Quellen nutzen. Unternehmen sollten zudem ihre Mitarbeiter regelmäßig über die Gefahren von Spear-Phishing-Attacken aufklären und angemessene Sicherheitsmaßnahmen ergreifen um sich vor Angriffen zu schützen.
Kommentare