solidot新版网站常见问题,请点击这里查看。

黑客使用木马版 PuTTY SSH 客户端植入后门

安全
WinterIsComing (31822)发表于 2022年09月16日 19时08分 星期五

来自守夜者
安全公司 Mandiant 报告,朝鲜黑客组织 NC4034 (aka Temp.Hermit 或 Labyrinth Chollima)在一次针对媒体公司的钓鱼攻击中使用了木马版 PuTTY 和 KiTTY SSH 客户端。PuTTY 以及其分支 KiTTY 都是流行的开源 SSH 客户端。攻击者首先向目标发送邮件提供亚马逊的工作机会,然后通过 WhatsApp 进行后续通信,发送了名为 amazon_assessment.iso 的文件,其中包含了 IP 地址和登陆凭证,以及木马版的 PuTTY (PuTTY.exe),攻击者诱骗受害者打开文件运行木马版本以进行技能评估。但该版本含有恶意负荷,会部署 DAVESHELL,然后安装后门程序 AIRDRY.V2。