Kuzey Kore merkezi olduğu düşünülen bir saldırı grubu PuTTY SSH ve Telnet istemcilerinin içerisine trojan yerleştirerek dağıtmaya başladı.
Google’ın sahip olduğu tehdit istihbarat şirketi Mandiant yeni saldırıyı UNC4034 adı altında izlediğini belirtti. Mandiant araştırmacıları saldırganların kurbanla WhatsApp üzerinden iletişim kurduğu ve onları PuTTY programının trojanlı bir versiyonunu indirmeye ikna ettiklerini ve kurbanları ikna etme yöntem olarakta cazip iş teklifleri sundukları belirtildi.
Saldırı ilk olarak Amazon iş başvurusu değerlendirme içeriği ISO halinde WhatsApp üzerinde paylaşılıyor. Bu iso kurban tarafından indiriliyor. ISO içerisiniden bir IP adresi ve oturum açma kimlik bilgileri içeren bir metin dosyası ve PuTTY’nin değiştirilmiş bir sürümünü bulunuyor. Bu zararlıda IRDRY adlı backdoor’un daha yeni bir varyantını DAVESHELL’i dağıtmayı sağlıyor.
Kötü amaçlı yazılım, dosya aktarımı, dosya yönetimi ve komut yürütme için yaklaşık 30 komutla birlikte geliyor. Son olarak saldırganlar arasında ISO üzerinden ilk erişim girişimleri giderek yayınlaşmaya başladığı görülüyor.
Kaynak: thehackernews.com
