Μολυσμένες εκδόσεις του προγράμματος PuTTY χρησιμοποιούνται για την εξάπλωση backdoor

Ερευνητές πιστεύουν ότι χάκερ με διασυνδέσεις με την κυβέρνηση της Βόρειας Κορέας έχουν προωθήσει μια Trojanized έκδοση του βοηθητικού προγράμματος δικτύωσης PuTTY σε μια προσπάθεια να παρακάμψουν το δίκτυο των οργανισμών που θέλουν να κατασκοπεύσουν.

Ερευνητές από την εταιρεία ασφαλείας Mandiant δήλωσαν την Πέμπτη ότι τουλάχιστον ένας πελάτης της είχε έναν υπάλληλο που εγκατέστησε το ψεύτικο βοηθητικό πρόγραμμα δικτύου κατά λάθος. Το περιστατικό έκανε τον εργοδότη να μολυνθεί με ένα backdoor που παρακολουθείται με το όνομα Airdry.v2. Το αρχείο μεταδόθηκε από μια ομάδα  που η Mandiant παρακολουθεί με τη κωδική ονομασία UNC4034.

«Η Mandiant εντόπισε αρκετές επικαλύψεις μεταξύ του UNC4034 και των ομάδων απειλών που υποπτευόμαστε ότι έχουν σχέση με τη Βόρεια Κορέα», έγραψαν ερευνητές της εταιρείας. "Οι διευθύνσεις URL AIRDRY.V2 C2 ανήκουν σε παραβιασμένη υποδομή ιστοτόπων που χρησιμοποιήθηκε προηγουμένως από αυτές τις ομάδες και αναφέρθηκε σε πολλές πηγές του OSINT."

Οι κακόβουλοι χρήστες παρουσιαζόντουσαν ως άτομα που στρατολογούσαν υπαλλήλους για δουλειά στην Amazon. Έστειλαν στον στόχο ένα μήνυμα μέσω WhatsApp που μετέδιδε ένα αρχείο με το όνομα amazon_assessment.iso. Τα αρχεία ISO χρησιμοποιούνται ολοένα και περισσότερο τους τελευταίους μήνες για να μολύνουν μηχανήματα με Windows, επειδή, από προεπιλογή, το διπλό κλικ σε αυτά προκαλεί την προσάρτησή τους ως εικονική μηχανή. Μεταξύ άλλων, η εικόνα είχε ένα εκτελέσιμο αρχείο με τίτλο PuTTY.exe.

Το PuTTY είναι μια εφαρμογή ασφαλούς κελύφους και telnet ανοιχτού κώδικα. Οι ασφαλείς εκδόσεις του υπογράφονται από τον επίσημο προγραμματιστή. Η έκδοση που στάλθηκε στο μήνυμα WhatsApp δεν ήταν υπογεγραμμένη.

Το εκτελέσιμο αρχείο εγκαθιστά την τελευταία έκδοση του Airdry, μια κερκόπορτα που η κυβέρνηση των ΗΠΑ έχει αποδώσει στην κυβέρνηση της Βόρειας Κορέας. Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ έχει μια περιγραφή εδώ. Η ομάδα αντιμετώπισης έκτακτης ανάγκης της κοινότητας της Ιαπωνίας έχει αυτήν την περιγραφή του backdoor, το οποίο παρακολουθείται επίσης ως BLINDINGCAN.