Araştırmacılar, Kuzey Kore hükümetiyle bağlantısı olan bilgisayar korsanlarının, casusluk yapmak istedikleri kuruluşların ağına arka kapı girmek amacıyla PuTTY ağ yardımcı programının Truva atlı bir sürümünü zorladığına inanıyorlar.
Güvenlik firması Mandiant’tan araştırmacılar Perşembe günü yaptığı açıklamada, hizmet verdiği en az bir müşteride, sahte ağ yardımcı programını kazara kuran bir çalışanı olduğunu söyledi. Olay, işverenin araştırmacılar tarafından Airdry.v2 olarak izlenen bir arka kapıya bulaşmasına neden oldu. Dosya, bir Mandiant grubu tarafından UNC4034 olarak iletildi.
Şirket araştırmacıları, “Mandiant, UNC4034 ile Kuzey Kore bağlantısına sahip olduğundan şüphelendiğimiz tehdit kümeleri arasında birkaç örtüşme tespit etti” dedi. “AIRDRY.V2 C2 URL’leri, daha önce bu gruplar tarafından kullanılan ve çeşitli OSINT kaynaklarında bildirilen, güvenliği ihlal edilmiş web sitesi altyapısına aittir.”
Tehdit aktörleri, çalışanı Amazon’da bir iş için işe alan insanlar olarak ortaya çıktı. Hedefe, amazon_assessment.iso adlı bir dosyayı ileten WhatsApp üzerinden bir mesaj gönderdiler. ISO dosyaları, Windows makinelerine bulaşmak için son aylarda giderek daha fazla kullanılmaktadır, çünkü varsayılan olarak üzerlerine çift tıklamak onları sanal bir makine olarak bağlamalarına neden olur. Diğer şeylerin yanı sıra, görüntüde PuTTY.exe adlı yürütülebilir bir dosya vardı.
PuTTY, açık kaynaklı, güvenli bir kabuk ve telnet uygulamasıdır. Güvenli sürümleri resmi geliştirici tarafından imzalanmıştır. WhatsApp mesajında gönderilen sürüm imzalanmadı.
Yürütülebilir dosya, ABD hükümetinin Kuzey Kore hükümetine atfettiği bir arka kapı olan Airdry’nin en son sürümünü yükledi. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın burada bir açıklaması var. Japonya’nın topluluk acil müdahale ekibi, BLINDINGCAN olarak da izlenen arka kapının bu açıklamasına sahiptir.