Putty Malware Dari APT Group Korea Utara

Peretas Korea Utara yang bernama APT UNC4034 atau Temp.Hermit atau Labyrinth Chollima menggunakan putty software yang telah di modifikasi dengan malware untuk menyebarkan backdoor pada perangkat target, yang juga disebarkan melalui phishing link berisikan ISO (Optical Disc Image) file dan beserta credential palsu dari Amazon Web Services. Malware ini digunakan untuk mengelabui pengguna untuk dapat membuka file yang di dalamnya telah terdapat program yang berbahaya, sehingga perangkat target dapat diambil alih untuk menjalankan perintah dari si pembuat malware tersebut. Program file yang dipakai oleh APT group UNC4034 adalah KiTTY SSH (turunan dari PuTTY SSH), untuk menyebarkan malware jenis AIRDRY.V2 dan tersimpan di dalam memory sistem.

Metodologi yang digunakan kelompok UNC4034 adalah spear phishing (menyerang target secara spesifik melalui email phising karena sudah memiliki informasi dari target tersebut). Adapun detail bagaimana APT group ini menjalankan aksinya adalah sebagai berikut.

1. APT Group mengirimkan e-mail palsu berupa tawaran berkerja pada perusahaan Amazon (AWS).
2. APT Group melakukan komunikasi melalui media WhatsApp, lalu kemudian membagikan file ISO bernama amazon_assessment.iso dan juga IP address dan credential dari IP tersebut.
3. Korban lalu membuka File ISO.
4. Kemudian korban juga membuka file putty yang telah diberikan dan telah disusupi oleh malware dari APT group tersebut.
5. Ketika korban menjalankan file putty tersebut, sekaligus menjalankan daveshell shellcode (malicious code) pada system komputer korbannya.

File PuTTY pada kasus ini adalah file yang telah dimodifikasi dan ditambahkan dengan malicious code atau program jahat. Dalam aksinya APT group tersebut memodifikasi fungsi connect_to_host() pada Putty sehingga korban akan diarahkan pada koneksi SSH palsu yang telah disiapkan oleh APT Group tersebut.

Dalam menginfeksi korbannya, file putty yang telah dimodifikasi mengandung muatan DLL shellcode (colorui.dll) dan diberi nama Daveshell (AIRDRY.V2), dan dikemas dengan Themida packer, untuk mengelabuhi antivirus ataupun memperlambat dalam proses reverse engineering. 

Backdoor jenis AIRDRY.V2 dapat berkomunikasi melalui HTTP ataupun SMB (Server Message Block) dan terhubung dengan CnC Server malware.

Berikut merupakan kemampuan dari backdoor AIRDRY.V2:

1. Mengambil seluruh informasi mengenai sistem korbannya.
2. Memperbarui interval komunikasi malware dan CnC server agar menyulitkan untuk mendeteksi proses.
3. Menonaktifkan tanggal dan waktu infeksi.
4. Perbarui konfigurasi malware.
5. Fitur keep alive.
6. Memperbarui kunci enkripsi AES yang digunakan untuk mengenkripsi jalur komunikasi malware dan CnC server.
7. Berjalan pada proses memory.

Sumber: https://www.bleepingcomputer.com/news/security/hackers-trojanize-putty-ssh-client-to-backdoor-media-company/