Un acteur menaçant, qui serait originaire de Corée du Nord, a été observé en train d’utiliser une nouvelle tactique de harponnage contre l’industrie des médias. Cela implique l’utilisation de versions trojanisées du client Telnet et PuTTY SSH.
Abandonner la porte dérobée via de fausses offres d’emploi
- Le groupe de menaces a fabriqué des leurres d’emploi pour la distribution du logiciel malveillant AIRDRY.
- Dans le passé, AIRDRY a été utilisé par des pirates liés à la Corée du Nord dans des attaques dirigées contre les États-Unis, la Corée du Sud et la Lettonie.
- Ils laisseraient tomber la porte dérobée via le téléchargeur CUTELOOP qui était intégré dans des documents malveillants.
Comment ça fonctionne?
L’attaque commence par un premier contact par e-mail, suivi d’un partage de fichier sur Whatsapp.
- Le dossier est un Archives ISO qui prétend être une évaluation Amazon dans le cadre d’une opportunité d’emploi potentielle.
- Cette archive contient un fichier texte avec une adresse IP et des identifiants de connexion, ainsi qu’une version modifiée de PuTTY pour charger un compte-gouttes (DAVESHELL) qui déploie une variante plus récente d’AIRDRY.
- On soupçonne que le groupe de menaces a convaincu la victime d’exécuter une session PuTTY en utilisant les informations d’identification fournies dans le fichier TXT pour se connecter à l’hôte distant, activant l’infection.
Conclusion
Il semble que l’utilisation de fichiers ISO puisse être motivée par la décision de Microsoft de bloquer les macros Excel 4.0 et VBA. L’utilisation de fichiers ISO similaires pour l’accès initial devrait connaître une augmentation à l’avenir, affirment les experts. Par conséquent, pour la protection, il est suggéré aux organisations d’assurer des solutions de détection basées sur le comportement en plus d’autres mesures de protection.
