PuTTY トロイの木馬版：Amazon の求人情報をルアーにしてバックドアを配布

Hackers trojanize PuTTY SSH client to backdoor media company

2022/09/15 BleepingComputer — 北朝鮮のハッカーが、PuTTY SSH クライアントのトロイの木馬版を使用し、偽の Amazon Job Assessment を仕掛ける手段として、ターゲットのデバイスにバックドアを展開している。 このキャンペーンにおける斬新な要素は、PuTTY／KiTTY SSH ユーティリティのトロイの木馬版を使用して、バックドア (このキャンペーンの場合は AIRDRY.V2) を展開している点にある。今日の Mandiant 技術レポートによると、このキャンペーンを展開した脅威アクターは UNC4034 (別名 Temp.Hermit または Labyrinth Chollima) だとのことだ。このグループの最新の活動は、2020年6月から続いている Operation Dream Job キャンペーンに続くものであり、今回はメディア企業を標的にしていると見られている。

Mandiant は、「Mandiant Managed Defense は、2022年7月のメディア業界における積極的な脅威のハンティング活動中に、UNC4034 として追跡されている脅威クラスタが採用する、新規のスピア・フィッシング手法を検出した」と説明している。

PuTTY SSH クライアントを使用したマルウェアの配布

この攻撃は、脅威アクターから被害者に対するメールで、Amazon の有利な求人情報を提供することから始まり、WhatsApp で連絡を取り合い、ISOファイル (amazon_assessment.iso) を共有するように仕向ける手口となる。

この ISO ファイルには、IP アドレス／ログイン認証情報を含むテキストファイル readme.txt と、非常に人気の高いオープンソースの SSH コンソール・アプリである、PuTTY (PuTTY.exe) のトロイの木馬版が含まれている。

BleepingComputer は、脅威アクターが Amazon-KiTTY.exe というファイル名を使用し、PuTTY のフォークである KiTTY SSH クライアントになりすましていることも認識している。両者の間で、どのようなやり取りが行われたのかは不明だが、脅威アクーは被害者に対して、ISO ファイルを開き、同封の SSH ツールと認証情報を使用してホストに接続し、スキル評価を実行するよう指示したと見られている。

ただし、ハッカーから送られる PuTTY は改ざんされており、データ・セクションに悪意のペイロードが含まれている。そのため、改ざんされたバージョンの容量は正規のバージョンよりもはるかに大きくなっている。

この PuTTY の実行ファイルは、正規のプログラムからコンパイルされているために、完全に機能し、正規のバージョンとまったく同じように見える。

さらに、ハッカーは PuTTY の connect_to_host() 関数を修正し、同封の認証情報を使って SSH 接続に成功すると、プログラムが Themida でパックされた DLL (colorui.dll) の形で、悪質な DAVESHELL シェルコード・ペイロードを配備するようにしている。

悪意の PuTTY は、シェルコードの起動をステルス化するために、正規の Windows カラーマネジメント・ツールである colorcpl.exe の、検索順序ハイジャックの脆弱性を用いて悪意の DLL をロードする。

以下の図にある DAVESHELL は、最終的なペイロードであるバックドア・マルウェア AIRDRY.V2 のドロッパーとして動作し、メモリ内でダイレクトに実行される。

AIRDRY.V2 は、名前付きパイプを介して HTTP／ファイル／SMB 経由で通信し、ハードコードされた３つの C2 アドレスのいずれかに、５回の接続を試みた後に 60 秒間のスリープ状態に入る。

このバックドアには、プロキシサーバの使用／アクティブな RDP セッションの監視などの機能がある。しかし、Mandiant が調査したバージョンでは、これらの機能はデフォルトで無効になっていた。

AIRDRY.V2 は、以下の９つのコマンドをサポートしている：

• 基本的なシステム情報のアップロード
• C2 サーバーから提供される値に基づくビーコン間隔の更新
• 新しい開始日時が来るまでの非アクティブ化
• 現在の設定のアップロード
• コンフィグレーションの更新
• キープ・アライブ
• コンフィグレーション内の値に基づくビーコン間隔の更新
• C2 リクエストと設定データの暗号化に使用する AES キーの更新
• メモリ上でのプラグインのダウンロード／実行

旧バージョンの AIRDRY と比較すると、サポートするコマンドは少なくなっているが、メモリ上でのプラグイン実行／C2 通信用の AES キーの更新などの機能が、新しく追加されている。

サポートするコマンドの数を減らしても、C2 からプラグインを取得することで、より高度な攻撃の可能性が広がるため、バックドアの汎用性に影響は生じない。

手元の PuTTY がトロイの木馬版であるかどうかを調べるには、実行ファイルのプロパティを参照して、Simon Tatham にるデジタル署名されているかを確認すればよい。

残念ながら、正規の KiTTY プログラムは通常、開発者により署名されていない。そのため、代わりに VirusTotal などのウイルス・スキャン・サービスにアップロードして、悪意のある検出がないかどうかを確認する必要がある。

人気のユーティリティである PuTTY／KiTTY SSH のトロイの木馬版を用いて、Amazon の有利な求人情報を提供し、WhatsApp で連絡を取り合い、バックドアが仕込まれた ISOファイルの展開を仕向ける手口とのことです。PuTTY ユーザーが狙われていることがから、技術者のアカウントから企業ネットワークへと侵入していくシナリオを、脅威アクターである UNC4034 は遂行しようとしているのでしょう。