Hacker Korea Utara Menyebarkan Versi Trojan dari Aplikasi Klien Putty

idNSA.id – Perusahaan Intelijen milik Google, Mandiant mengidentifikasi metodologi spear phish baru yang digunakan oleh pelaku ancaman terkait Korea Utara UNC4034. Para penyerang menyebarkan versi tercemar dari Putty SSH dan klien Telnet. Rantai serangan dimulai dengan peluang kerja palsu di Amazon yang dikirim ke para korban melalui email. Selanjutnya, UNC4034 berkomunikasi melalui  WhatsApp  dan setelah komunikasi terjalin dengan korban melalui WhatsApp, kemudian pelaku ancaman menipu korban untuk mengunduh gambar ISO berbahaya yang menyamar sebagai pekerjaan palsu.

Arsip menyimpan file teks yang berisi alamat IP dan kredensial login, dan versi backdoor dari Putty yang digunakan untuk memuat dropper yang disebut DAVESHELL, yang menyebarkan varian baru dari backdoor yang dijuluki AIRDRY. AIRDRY, juga dikenal sebagai BLINDINGCAN adalah salah satu backdoor yang digunakan oleh kelompok APT terkait Korea Utara dalam serangan sebelumnya.

Jelas, penyerang meyakinkan korban untuk meluncurkan sesi Putty menggunakan kredensial yang terkandung dalam file TXT untuk terhubung ke host jarak jauh.

Prospek awal adalah file yang diunduh ke host bernama amazon_assessment.iso. Arsip ISO dan IMG menjadi menarik bagi pelaku ancaman karena dari Windows 10 dan seterusnya, mengklik dua kali file-file ini secara otomatis memasangnya sebagai drive disk virtual dan membuat kontennya mudah diakses.” Membaca posting yang diterbitkan oleh Mandiant. “Mendeteksi arsip IMG dan ISO berbahaya yang disajikan melalui lampiran phishing adalah hal rutin bagi Mandiant Managed Defense. Muatan yang terkandung dalam arsip tersebut berkisar dari malware komoditas hingga backdoor canggih seperti sampel yang dianalisis dalam posting blog ini.”

Para ahli menunjukkan bahwa versi AIRDRY sebelumnya mendukung banyak perintah backdoor, termasuk transfer file, manajemen file, dan eksekusi perintah. Versi terbaru menggantikan perintah backdoor tradisional dengan pendekatan berbasis plugin yang mendukung beberapa mode komunikasi.

Para ahli menerbitkan Indicator of Compromize (IoC) dan Pemetaan ATT & CK MITER untuk kampanye ini. Perkembangan ini merupakan tanda lain bahwa penggunaan file ISO untuk akses awal mendapatkan daya tarik di antara pelaku ancaman untuk mengirimkan malware komoditas dan target.

Pergeseran ini juga disebabkan oleh keputusan Microsoft untuk memblokir makro Excel 4.0 (XLM atau XL4) dan Visual Basic for Applications (VBA) untuk aplikasi Office yang diunduh dari internet secara default.