Контакты
Подписка 2023
МЕНЮ
Контакты
Подписка

Северокорейские хакеры разносят по сети троянизированные версии PuTTY

20/09/22

putty

По словам экспертов, атаки с использованием троянизированной версии PuTTY начинаются с электронного письма цели, в котором злоумышленники делают крайне заманчивое предложение – предлагают работу в Amazon.

После этого хакеры пишут жертве в WhatsApp и отправляют вредоносный ISO-файл, якобы связанный с устройством на работу. В ISO-файле находятся текстовый файл с IP-адресом и учетными данными для входа в систему, вредоносная версия PuTTY, которая загружает дроппер DAVESHELL, который разворачивает свежий бэкдор под названием AIRDRY.

AIRDRY, также известный как BLINDINGCAN, в прошлом использовался северокорейскими хакерами для атак на американских оборонных подрядчиков и организации в Южной Корее и Латвии. Если ранние версии вредоносной программы содержали около 30 команд для передачи файлов, управления файлами и выполнения команд, то последняя версия отказалась от командного подхода в пользу плагинов, которые загружаются и выполняются в памяти.

Специалисты предполагают, что хакеры могли убедить жертву запустить PuTTY, ввести учетные данные, указанные в TXT-файле, после чего компьютер цели подключится к удаленному узлу и начнет цепочку заражения.

По мнению экспертов, такая вредоносная кампания является признаком того, что киберпреступники все чаще начинают все чаще использовать ISO-файлы для получения первоначального доступа и доставки вредоносного ПО, пишут в Securitylab. Кроме того, это может быть связано с решением Microsoft по умолчанию блокировать макросы Excel 4.0 (XLM или XL4) и VBA для приложений Office.

Темы:ПреступлениятрояныКНДРфишинг
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...