• : info@idnsa.id
IDNSA
  • Beranda
  • Agenda
  • Literasi Digital
    Test Mandiri IDNSA secure school program
  • Webinar
  • Galeri
  • Tentang Kami
Masuk / Daftar
  1. Home
  2. Article
  3. Hacker Korea Utara Menyebarkan Versi Trojan dari Aplikasi Klien Putty
Like

  • 0
Bookmark

Share

  • 456

Hacker Korea Utara Menyebarkan Versi Trojan dari Aplikasi Klien Putty

scofield
2 years ago

idNSA.id – Perusahaan Intelijen milik Google, Mandiant mengidentifikasi metodologi spear phish baru yang digunakan oleh pelaku ancaman terkait Korea Utara UNC4034. Para penyerang menyebarkan versi tercemar dari Putty SSH dan klien Telnet. Rantai serangan dimulai dengan peluang kerja palsu di Amazon yang dikirim ke para korban melalui email. Selanjutnya, UNC4034 berkomunikasi melalui  WhatsApp  dan setelah komunikasi terjalin dengan korban melalui WhatsApp, kemudian pelaku ancaman menipu korban untuk mengunduh gambar ISO berbahaya yang menyamar sebagai pekerjaan palsu.

Arsip menyimpan file teks yang berisi alamat IP dan kredensial login, dan versi backdoor dari Putty yang digunakan untuk memuat dropper yang disebut DAVESHELL, yang menyebarkan varian baru dari backdoor yang dijuluki AIRDRY. AIRDRY, juga dikenal sebagai BLINDINGCAN adalah salah satu backdoor yang digunakan oleh kelompok APT terkait Korea Utara dalam serangan sebelumnya.

Jelas, penyerang meyakinkan korban untuk meluncurkan sesi Putty menggunakan kredensial yang terkandung dalam file TXT untuk terhubung ke host jarak jauh.

UNC4034


Prospek awal adalah file yang diunduh ke host bernama amazon_assessment.iso. Arsip ISO dan IMG menjadi menarik bagi pelaku ancaman karena dari Windows 10 dan seterusnya, mengklik dua kali file-file ini secara otomatis memasangnya sebagai drive disk virtual dan membuat kontennya mudah diakses.” Membaca posting yang diterbitkan oleh Mandiant. “Mendeteksi arsip IMG dan ISO berbahaya yang disajikan melalui lampiran phishing adalah hal rutin bagi Mandiant Managed Defense. Muatan yang terkandung dalam arsip tersebut berkisar dari malware komoditas hingga backdoor canggih seperti sampel yang dianalisis dalam posting blog ini.”

Para ahli menunjukkan bahwa versi AIRDRY sebelumnya mendukung banyak perintah backdoor, termasuk transfer file, manajemen file, dan eksekusi perintah. Versi terbaru menggantikan perintah backdoor tradisional dengan pendekatan berbasis plugin yang mendukung beberapa mode komunikasi.

Para ahli menerbitkan Indicator of Compromize (IoC) dan Pemetaan ATT & CK MITER untuk kampanye ini. Perkembangan ini merupakan tanda lain bahwa penggunaan file ISO untuk akses awal mendapatkan daya tarik di antara pelaku ancaman untuk mengirimkan malware komoditas dan target.

Pergeseran ini juga disebabkan oleh keputusan Microsoft untuk memblokir makro Excel 4.0 (XLM atau XL4) dan Visual Basic for Applications (VBA) untuk aplikasi Office yang diunduh dari internet secara default.


Label : hacker phising Cybersecurity Backdoor

Artikel Terkait :

Cyber Jawara 2020 National Hacking Competition and...
Aplikasi Trading Robinhood Terkena Pelanggaran Dat...
Google TAG merinci aktivitas cyber terkait dengan...
Samsung mengungkapkan pelanggaran data kedua tahun...
IdNSA

IdNSA - Indonesia Network Security Association

Bandung Techno Park Kawasan Pendidikan Telkom
Jl. Telekomunikasi, Sukapura, Kec. Dayeuhkolot, Bandung, Jawa Barat 40257, Indonesia

Phone : (022) 88884200 Ext 203

  • : info@idnsa.id

Privacy Policy - Term and Condition

- IdNSA