0xNews - PuTTY 클라이언트 애플리케이션의 트로이 목마 버전 유포하는 북한 공격 캠페인 발견

0xNews - PuTTY 클라이언트 애플리케이션의 트로이 목마 버전 유포하는 북한 공격 캠페인 발견 


Mandiant 발표

https://www.mandiant.com/resources/blog/dprk-whatsapp-phishing


PuTTY 애플리케이션에 트로이 목마 버전을 사용하여 배포하는 새로운 스피어 피싱 방법을 사용하는 북한 공격 발견

Mandiant 는 구글 Google 소속 위협 정보 회사

UNC4034 으로 명명하여 추적 중


UNC4034 는 WhatsApp을 통해 피해자와 통신을 설정하고 PuTTY 애플리케이션의 트로이 목마 인스턴스를 통해 AIRDRY.V2 백도어를 배포

허위 구인 광고와 관련된 악성 ISO 패키지를 다운로드 하도록 유도

스피어 피싱을 통한 맬웨어 배포 경로를 유포하는 것은 북한 소속 라자루스 그룹에서 자주 사용하는 공격 캠페인



공격의 시작점은 다수가 사용하여 인정 받은 아마존의 평가로 가장한 ISO 파일을 유포하여 실행

해당 파일은 이메일을 통해 초기 연락을 설정한 후 WhatApp 을 통해 공유

아카이브에는 IP주소와 로그인 자격 증명이 포함된 텍스트 파일과 AIRDRY 라는 백도어의 최신 변종을 배포하는 DAVESHELL 이라는 Dropper 를 로드하는 변경된 PuTTY 애플리케이션이 포함

PuTTY 세션을 시작하고 TXT 파일에 제공된 자격 증명을 사용

원격 호스트에 연결하여 효과적으로 감염을 활성화하도록 피해자를 설득하거나 유도


AIRDRY 는 과거에 BLINDINGCAN 이라는 이름으로 알려짐

북한과 연계된 해킹그룹이 한국을 비롯한 미국 방위산업체나 기업을 공격하는데 주로 사용


이전 버전의 맬웨어에서는 파일 전송, 파일 관리, 명령 실행을 위한 30여개 명령이 포함

최신 버전은 메모리에서 다운로드, 실행되는 플러그인을 선호하여 명령 기반 잡근 방식을 회피하도록 설계


이러한 공격 변화는 기본적으로 인터넷에서 다운로드한 MS Office 앱용 Excel 4.0(XLM 혹은 XL4), VBA Visual Basic for Applications 매크로를 차단하기로 한 마이크로소프트의 결정에 공격자가 대응한 것으로 파악


댓글

이 블로그의 인기 게시물

0xNews - 4가지 새로운 HTTP request 스몰딩 Smuggling 공격 발견

0xNews - AWS 대상 암호화폐 채굴 캠페인 실행 공격자 적발

0xNews - 인터넷의 많은 부분이 위험에 노출되는 apache log4j 취약점 발견