北韩骇客组织利用替换版本的PuTTY进行新一波攻击

文章重点

• 北韩骇客组织UNC4034利用替换版的PuTTY和KiTTY进行针对媒体公司的攻击。
• 攻击者通过假装提供Amazon的高薪工作机会进行诈骗，并诱导受害者使用WhatsApp进行后续交流。
• 攻击内容包括一个ISO档案，该档案内含有被替换过的PuTTY应用程式，以及一份包含登录凭证和IP地址的文本文件。
• 改版的PuTTY执行后会载入DAVESHELL DLL，最终在内存中部署AIRDRY.V2恶意软件。

近期，报导指出，北韩的骇客组织UNC4034（又名LabyrinthChollima或Temp.Hermit）正利用替换版本的PuTTY和KiTTYSSH工具，展开一项新的针对性网络钓鱼攻击。这次攻击的目标是媒体公司，最早在七月份被Mandiant发现，这些攻击被认为是自2020年6月开始的「梦想工作」行动的一部分。

攻击者最初发送了提供丰厚Amazon工作的电子邮件，随后诱导受害者转向WhatsApp进行进一步的交流，并在此时分享一个ISO档案。根据报导，ISO档案中包括了一个被替换过的PuTTY应用程式和一个包含登录凭证和IP地址的文本文件。执行此改版PuTTY会引发DAVESHELLDLL的加载，进而直接在内存中部署AIRDRY.V2恶意软件。

AIRDRY.V2 的特点

从上表可以看出，AIRDRY.V2相较于旧版本，具备了更少的命令和运行方式，但强化了在内存中的插件执行能力及AES密钥的更新功能。这显示出骇客组织在恶意软件设计上的进步，意图更加隐蔽地控制被攻击的系统。