Une menace avec un lien avec la Corée du Nord a été découverte en utilisant une « nouvelle méthodologie de phishing harpon » qui implique l’utilisation de versions trojanisées du client PuTTY SSH et Telnet.
La société de renseignement sur les menaces Mandiant, propriété de Google, a attribué la nouvelle campagne à un groupe de menaces émergentes qu’elle suit sous le nom UNC4034.
« UNC4034 a établi une communication avec la victime via WhatsApp et l’a incitée à télécharger un package ISO malveillant concernant une fausse offre d’emploi qui a conduit au déploiement de la porte dérobée AIRDRY.V2 via une instance trojanisée de l’utilitaire PuTTY », ont déclaré les chercheurs de Mandiant. a dit.
L’utilisation de leurres d’emploi fabriqués comme voie de distribution de logiciels malveillants est une tactique souvent utilisée par les acteurs nord-coréens parrainés par l’État, y compris le groupe Lazarus, dans le cadre d’une campagne durable appelée Operation Dream Job.
Le point d’entrée de l’attaque est un fichier ISO qui se fait passer pour une évaluation Amazon dans le cadre d’une opportunité d’emploi potentielle chez le géant de la technologie. Le fichier a été partagé sur WhatApp après avoir établi un premier contact par e-mail.
L’archive, pour sa part, contient un fichier texte contenant une adresse IP et des identifiants de connexion, ainsi qu’une version modifiée de PuTTY qui, à son tour, charge un compte-gouttes appelé DAVESHELL, qui déploie une nouvelle variante d’une porte dérobée appelée AIRDRY.
Il est probable que l’auteur de la menace ait convaincu la victime de lancer une session PuTTY et d’utiliser les informations d’identification fournies dans le fichier TXT pour se connecter à l’hôte distant, activant ainsi l’infection.
AIRDRY, également connu sous le nom de BLINDINGCAN, a été utilisé par le passé par des pirates informatiques liés à la Corée du Nord pour frapper des sous-traitants et des entités de la défense américaine en Corée du Sud et en Lettonie.
Alors que les versions antérieures du logiciel malveillant comportaient près de 30 commandes pour le transfert de fichiers, la gestion de fichiers et l’exécution de commandes, la dernière version a été trouvée pour éviter l’approche basée sur les commandes en faveur de plugins qui sont téléchargés et exécutés en mémoire.
Mandiant a déclaré qu’il était en mesure de contenir le compromis avant que toute autre activité post-exploitation puisse avoir lieu après le déploiement de l’implant.
Ce développement est un autre signe que l’utilisation de fichiers ISO pour l’accès initial gagne du terrain parmi les acteurs de la menace pour fournir à la fois des logiciels malveillants de base et ciblés.
Ce changement est également attribuable à la décision de Microsoft de bloquer par défaut les macros Excel 4.0 (XLM ou XL4) et Visual Basic pour Applications (VBA) pour les applications Office téléchargées depuis Internet.