Las versiones trinizadas de la utilidad PuTTY se utilizan para distribuir puertas traseras

Los investigadores creen que los piratas informáticos con vínculos con el gobierno de Corea del Norte han desarrollado una versión troyana de la aplicación de red PuTTY en un intento de entrar por la puerta trasera en las redes de las organizaciones que quieren espiar.

Investigadores de la empresa de seguridad Mandiant dijo el jueves que al menos un cliente al que atiende tenía un empleado que instaló accidentalmente una utilidad de red no autorizada. El incidente provocó que el empleador se infectara con una puerta trasera que los investigadores están rastreando como Airdry.v2. Archivo enviado por el equipo de Mandiant como UNC4034.

«Mandiant ha identificado varias coincidencias entre UNC4034 y grupos de amenazas que sospechamos que tienen una conexión con Corea del Norte», escribieron los investigadores de la compañía. «Las URL de AIRDRY.V2 C2 pertenecen a una infraestructura de sitio web comprometida que estos grupos han utilizado en el pasado y ha sido informada por varias fuentes OSINT».

Los actores de amenazas se hicieron pasar por personas que reclutaban al empleado para un trabajo en Amazon. Enviaron un mensaje de WhatsApp al objetivo, que reenvió un archivo llamado amazon_assessment.iso. Los archivos ISO se han utilizado cada vez más para infectar máquinas con Windows en los últimos meses, ya que al hacer doble clic en ellos de forma predeterminada, se montan como una máquina virtual. Entre otras cosas, la imagen contenía un archivo ejecutable titulado PuTTY.exe.

PuTTY es una aplicación de shell y telnet segura de código abierto. Sus versiones seguras están firmadas por un desarrollador oficial. La versión enviada en el mensaje de WhatsApp no ​​está firmada.

El ejecutable instaló la última versión de Airdry, una puerta trasera que el gobierno de EE. UU. atribuyó al gobierno de Corea del Norte. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. tiene una descripción aquí. El Equipo de Respuesta a Emergencias de la Comunidad de Japón ha este descripción de la puerta trasera, también vista como BLINDINGCAN.