image

Organisaties besmet nadat personeel malafide PuTTY via WhatsApp downloadt

vrijdag 30 september 2022, 10:44 door Redactie, 7 reacties

Tal van organisaties zijn met malware besmet geraakt nadat personeel malafide versies van PuTTY, Sumatra PDF Reader, TightVNC en muPDF via WhatsApp hadden gedownload, zo melden Microsoft en securitybedrijf Mandiant. De medewerkers in kwestie waren via LinkedIn benaderd door aanvallers die zich voordeden als recruiters voor tech-, media- en defensiebedrijven.

Zodra er via LinkedIn contact is gemaakt proberen de aanvallers het contact via WhatsApp voort te zetten. Vervolgens sturen de aanvallers het doelwit via WhatsApp een ISO- of ZIP-bestand dat aangepaste versies van PuTTY, Sumatra PDF Reader, TightVNC of muPDF bevat. Zo zou de aangeboden versie van PuTTY bijvoorbeeld nodig zijn voor het doen van een assessment en kan er via de aangepaste TightVNC Viewer verbinding met een bepaalde host worden gemaakt.

De aangepaste software functioneert naar behoren, maar installeert in de achtergrond ook een backdoor waarmee de aanvallers toegang tot het systeem krijgen. Vervolgens proberen de aanvallers zich lateraal door het netwerk van de organisatie te bewegen en allerlei informatie van de gecompromitteerde netwerken te stelen. Microsoft stelt dat sinds juni van dit jaar tal van organisaties op deze manier zijn gecompromitteerd.

Volgens Microsoft en Mandiant zijn de aanvallen het werk van een uit Noord-Korea opererende en door de staat gesteunde groep die zich richt op financieel gewin, spionage, datadiefstal en sabotage. Microsoft adviseert organisaties om personeel te onderwijzen over het voorkomen van malware-infecties, waaronder het negeren of verwijderen van ongevraagde of onverwachte e-mails met ISO-bijlagen. Verder moet het gebruik van accounts met lokale of domeinbeheerdersrechten worden beperkt.

Image

Reacties (7)
30-09-2022, 10:52 door Anoniem
Zo zou de aangeboden versie van PuTTY bijvoorbeeld nodig zijn voor het doen van een assessment

[ ] persoon is geschikt voor zijn huidige functie
[x] persoon is ongeschikt voor zijn huidige functie
30-09-2022, 11:13 door Anoniem
vertel nou een wat nieuws...
30-09-2022, 19:04 door Anoniem
Natuurlijk zijn de gebruikers niet slim bezig, maar van de IT afdeling mag toch verwacht worden dat ze installeren van software blokkeren en de tent op slot zetten als er vreemde data bewegingen zijn.
30-09-2022, 19:32 door Anoniem
Door Anoniem:
Zo zou de aangeboden versie van PuTTY bijvoorbeeld nodig zijn voor het doen van een assessment

[ ] persoon is geschikt voor zijn huidige functie
[x] persoon is ongeschikt voor zijn huidige functie
Geeft de persoon maar weer de schuld! Het OS hoort dit niet te faciliteren. Gebruik geen consumenten software voor zakelijke toepassingen!
Onder Linux onmogelijk als je $HOME en /tmp mount met noexe flag zoals het hoort op een desktop.
30-09-2022, 20:27 door Anoniem
Door Anoniem:
Onder Linux onmogelijk als je $HOME en /tmp mount met noexe flag zoals het hoort op een desktop.
Ik heb zo'n vaag vermoeden dat Windows ook zo'n vlaggetje heeft.
30-09-2022, 22:34 door Anoniem
Door Anoniem:
Door Anoniem:
Zo zou de aangeboden versie van PuTTY bijvoorbeeld nodig zijn voor het doen van een assessment

[ ] persoon is geschikt voor zijn huidige functie
[x] persoon is ongeschikt voor zijn huidige functie
Geeft de persoon maar weer de schuld! Het OS hoort dit niet te faciliteren. Gebruik geen consumenten software voor zakelijke toepassingen!
Onder Linux onmogelijk als je $HOME en /tmp mount met noexe flag zoals het hoort op een desktop.

Welke personen gebruiken Putty en waarvoor?

Als je via een commdo-prompt op een linux of unix omgeving weet te werken, dan hoor je een redelijke basiskennis ICT te hebben. En dus beter te weten. Heb je die kennis niet, dan hoort je niet op een commando-prompt te werken.

Dat bedrijven de boel goed op slot moeten zetten, staat buiten kijf.
Maar ICTers kunnen nu eenmaal makkelijker beveiligingen omzeilen dan gewone gebruikers.

Dus ja, in dit geval geef ik de persoon zelf de schuld.
Ik heb dan ook specifiek het Putty deel eruit gelicht, en niet de andere aanvalsvormen.


Dat gebruikers hun sollicitaties op systemen van hun huidige werkgever uitvoeren is ook apart.
Zelf zou ik dat op eigen apparatuur thuis doen. De baas hoeft daar IMHO niets van te weten tot ik zover gevorderd ben dat ik ga vertrekken.
En wil de nieuwe werkgever me testen via Putty, dan mogen ze daar zelf een testomgeving voor aanleveren.
En die ga ik echt niet benaderen vanuit de netwerkomgeving van mijn huidige werkgever. Dat moet je gescheiden van elkaar houden.
Dat iemand daar zelfs maar op komt om dat te doen ... Ongelofelijk.
Dan kan je huidige baas je toch niet vertrouwen met zijn spullen.
01-10-2022, 10:49 door Anoniem
Door Anoniem:
Door Anoniem:
Onder Linux onmogelijk als je $HOME en /tmp mount met noexe flag zoals het hoort op een desktop.
Ik heb zo'n vaag vermoeden dat Windows ook zo'n vlaggetje heeft.
Helaas. windows (ntfs) support dat niet, anders was het malware probleem onder windows al lang grotendeels opgelost.
Je kan onder windows ook niet je hele $HOME mounten. Dat komt omdat windows niet is ontworpen als multi-user systeem, maar dat terzijde. Daarnaast komt software voor dit platform overal vandaan en niet uit een centrale repository, waardoor zo'n noexec flag geen zin heeft, daar je anders geen software kan installeren.
Wie denkt PuTTY (verstopt in een zip bestand weliswaar) bijvoorbeeld nodig te hebben voor het doen van een assessment denkt natuurlijk niet na.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.