Putty Malware Dari APT Group Korea Utara

Putty Malware Dari APT Group Korea Utara

Nurbawono Auliajati 27 September 2022 - 04:52:00 WIB

Peretas Korea Utara yang bernama APT UNC4034 atau Temp.Hermit atau Labyrinth Chollima menggunakan putty software yang telah di modifikasi dengan malware untuk menyebarkan backdoor pada perangkat target, yang juga disebarkan melalui phishing link berisikan ISO (Optical Disc Image) file dan beserta credential palsu dari Amazon Web ServicesMalware ini digunakan untuk mengelabui pengguna untuk dapat membuka file yang di dalamnya telah terdapat program yang berbahaya, sehingga perangkat target dapat diambil alih untuk menjalankan perintah dari si pembuat malware tersebut. Program file yang dipakai oleh APT group UNC4034 adalah KiTTY SSH (turunan dari PuTTY SSH), untuk menyebarkan malware jenis AIRDRY.V2 dan tersimpan di dalam memory sistem.

Metodologi yang digunakan kelompok UNC4034 adalah spear phishing (menyerang target secara spesifik melalui email phising karena sudah memiliki informasi dari target tersebut). Adapun detail bagaimana APT group ini menjalankan aksinya adalah sebagai berikut.

  1. APT Group mengirimkan e-mail palsu berupa tawaran berkerja pada perusahaan Amazon (AWS).
  2. APT Group melakukan komunikasi melalui media WhatsApp, lalu kemudian membagikan file ISO bernama amazon_assessment.iso dan juga IP address dan credential dari IP tersebut.
  3. Korban lalu membuka File ISO.
  4. Kemudian korban juga membuka file putty yang telah diberikan dan telah disusupi oleh malware dari APT group tersebut.
  5. Ketika korban menjalankan file putty tersebut, sekaligus menjalankan daveshell shellcode (malicious code) pada system komputer korbannya.

File PuTTY pada kasus ini adalah file yang telah dimodifikasi dan ditambahkan dengan malicious code atau program jahat. Dalam aksinya APT group tersebut memodifikasi fungsi connect_to_host() pada Putty sehingga korban akan diarahkan pada koneksi SSH palsu yang telah disiapkan oleh APT Group tersebut.

Dalam menginfeksi korbannya, file putty yang telah dimodifikasi mengandung muatan DLL shellcode (colorui.dll) dan diberi nama Daveshell (AIRDRY.V2), dan dikemas dengan Themida packer, untuk mengelabuhi antivirus ataupun memperlambat dalam proses reverse engineering

Backdoor jenis AIRDRY.V2 dapat berkomunikasi melalui HTTP ataupun SMB (Server Message Block) dan terhubung dengan CnC Server malware.

Berikut merupakan kemampuan dari backdoor AIRDRY.V2:

  1. Mengambil seluruh informasi mengenai sistem korbannya.
  2. Memperbarui interval komunikasi malware dan CnC server agar menyulitkan untuk mendeteksi proses.
  3. Menonaktifkan tanggal dan waktu infeksi.
  4. Perbarui konfigurasi malware.
  5. Fitur keep alive.
  6. Memperbarui kunci enkripsi AES yang digunakan untuk mengenkripsi jalur komunikasi malware dan CnC server.
  7. Berjalan pada proses memory.

 

 

Sumber: https://www.bleepingcomputer.com/news/security/hackers-trojanize-putty-ssh-client-to-backdoor-media-company/

Post Terkait

HATI-HATI PHISHING BERKEDOK BANSOS PKH

Muhammad Ridwan Na'im 03 Oktober 2024 - 16:17:30 WIB

HATI-HATI PHISHING BERKEDOK BANSOS PKH
ANCAMAN SIBER DI BALIK PENGGUNAAN SOFTWARE BAJAKAN

Muhammad Ridwan Na'im 15 September 2023 - 07:52:35 WIB

ANCAMAN SIBER DI BALIK PENGGUNAAN SOFTWARE BAJAKAN
ANALISA EMAIL PHISHING PADA EMAIL TANGERANG KOTA

Muhammad Ridwan Na'im 01 September 2023 - 06:15:29 WIB

ANALISA EMAIL PHISHING PADA EMAIL TANGERANG KOTA

Trending

CONTENT SECURITY POLICY
CONTENT SECURITY POLICY

Muhammad Ridwan Na'im 07 April 2022 - 19:15:06 WIB

Bug Zero Day Terbaru pada Browser Chrome. Update Browsermu Segera!
Bug Zero Day Terbaru pada Browser Chrome. Update Browsermu Segera!

Muhammad Ridwan Na'im 07 April 2022 - 21:31:47 WIB

Lima Ancaman Keamanan Jaringan Dan Cara Mengamankannya
Lima Ancaman Keamanan Jaringan Dan Cara Mengamankannya

Muhammad Ridwan Na'im 27 September 2022 - 12:07:37 WIB