黑客

20220916 黑客使用木马版 PuTTY SSH 客户端植入后门

安全公司 Mandiant 报告,朝鲜黑客组织 NC4034 (aka Temp.Hermit 或 Labyrinth Chollima)在一次针对媒体公司的钓鱼攻击中使用了木马版 PuTTY 和 KiTTY SSH 客户端。PuTTY 以及其分支 KiTTY 都是流行的开源 SSH 客户端。攻击者首先向目标发送邮件提供亚马逊的工作机会,然后通过 WhatsApp 进行后续通信,发送了名为 amazon_assessment.iso 的文件,其中包含了 IP 地址和登陆凭证,以及木马版的 PuTTY (PuTTY.exe),攻击者诱骗受害者打开文件运行木马版本以进行技能评估。但该版本含有恶意负荷,会部署 DAVESHELL,然后安装后门程序 AIRDRY.V2。

互联网是荒蛮社会,乱下软件中招太正常。

评论(没有评论)