黑客利用 Amazon 虚假招聘诱导部署 PuTTY 木马病毒,SSH 给出 3 大专业建议

2022-09-23 12:01
83

5-5.gif


2022年7月,在一家媒体行业公司日常 Mandiant Managed Defense 的主动威胁扫描中,网络安全供应商 Mandiant 发现了该公司正在使用木马版 PuTTY 和 KiTTY SSH 客户端,经过进一步鉴别后,确定这是一种新型鱼叉式网络钓鱼攻击。


图1.png


此攻击是由 UNC4034 黑客发起,向攻击目标发送亚马逊招聘电子邮件,邮件附带WhatsApp 联系方式,被害者在 WhatsApp 添加好友后,会收到一个名为 amazon_assessment.iso 的文件包,要求安装进行工作评估。其实,该文件包含木马版 PuTTY 客户端,运行后会部署 DAVESHELL,并安装后门程序 AIRDRY.V2。


图 2:官方发布的 PuTTY 实用程序(左)和恶意版本(右)的数字签名.png


官方发布的 PuTTY 实用程序(左)和恶意版本(右)的数字签名。


图 3:比较官方分发的 PuTTY 实用程序(左)和恶意样本(右)中的 .data 部分.png


比较官方分发的 PuTTY 实用程序(左)和恶意样本(右)中的 .data 部分。


图 4:执行恶意样本时显示的 PuTTY 界面.png


执行恶意样本时显示的 PuTTY 界面。


来自芬兰的防御性网络安全开拓者——SSH,给您三大专业建议

  1. 一定要从合规来源下载软件。SSH 建议企业客户使用付费版本的软件,比如用 Tectia SSH Client/Server,以取代 OpenSSH、PuTTY 等。

  2. 在最短时间内修复问题和漏洞。作为 SSH 协议的发明者、加密标准的技术先驱,SSH 承诺在最短时间内为任何漏洞提供 bug 修复和软件升级服务,防止攻击源和减少攻击时间。而 OpenSSH 和 PuTTY 这样的免费软件是没有任何承诺服务,客户只能等待 bug 修复版本的发布更新。

  3. SSH Tectia 量子安全(TQS)解决方案。包含了后量子密码(PQC)算法,旨在安全防范未来可能针对经典算法(如RSA、ECDH)的攻击。Tectia 量子安全的 PQC 算法被列入 NIST 标准,SSH 的软件产品更有前瞻性与竞争力。


SSH2.png


Cyberworld 科明大同是 SSH 的中国区总代理商,欢迎咨询 SSH 产品和解决方案,我们期待您的联络