{"id":6395,"date":"2024-04-07T15:11:41","date_gmt":"2024-04-07T13:11:41","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6395"},"modified":"2024-04-07T15:11:41","modified_gmt":"2024-04-07T13:11:41","slug":"lazni-putty-klijent-isporucuje-rhadamanthys-kradljivca","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/04\/07\/lazni-putty-klijent-isporucuje-rhadamanthys-kradljivca\/","title":{"rendered":"La\u017eni PuTTY klijent isporu\u010duje Rhadamanthys kradljivca"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">La\u017eni <em>PuTTY<\/em> klijent isporu\u010duje <em>Rhadamanthys<\/em> kradljivca kroz <a href=\"https:\/\/cybersecuritynews.com\/linux-admins-beware-fake-putty\/\" target=\"_blank\" rel=\"noopener\">kampanju zlonamjernog ogla\u0161avanja<\/a>. Zlonamjerni akteri iskori\u0161tavaju povjerenje u <em>PuTTY<\/em> kao \u0161iroko kori\u0161teni <em>SSH<\/em> i <em>Telnet<\/em> klijenta tako \u0161to predstavljaju la\u017enu internet lokaciju kroz zlonamjerne oglase koji se pojavljuju na vrhu rezultata <em>Google<\/em> pretrage.<\/span><\/p>\n<div id=\"attachment_6399\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6399\" class=\"size-full wp-image-6399\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/PuTTY-client.jpg\" alt=\"PuTTY \" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/PuTTY-client.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/PuTTY-client-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/PuTTY-client-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/PuTTY-client-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/PuTTY-client-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/PuTTY-client-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/PuTTY-client-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6399\" class=\"wp-caption-text\"><em>La\u017eni PuTTY klijent isporu\u010duje Rhadamanthys kradljivca; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/04\/07\/lazni-putty-klijent-isporucuje-rhadamanthys-kradljivca\/#PUTTY_ZLONAMJERNA_KAMPANJA\">PUTTY ZLONAMJERNA KAMPANJA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/04\/07\/lazni-putty-klijent-isporucuje-rhadamanthys-kradljivca\/#FUNKCIONISANJE\">FUNKCIONISANJE<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/04\/07\/lazni-putty-klijent-isporucuje-rhadamanthys-kradljivca\/#Rhadamanthys_kradljivac\">Rhadamanthys kradljivac<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/04\/07\/lazni-putty-klijent-isporucuje-rhadamanthys-kradljivca\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/04\/07\/lazni-putty-klijent-isporucuje-rhadamanthys-kradljivca\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"PUTTY_ZLONAMJERNA_KAMPANJA\"><\/span><span style=\"font-size: 14pt;\"><strong><em>PUTTY <\/em>ZLONAMJERNA KAMPANJA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>PuTTY<\/em> klijent je me\u0111u najpopularnijim metama <a href=\"https:\/\/sajberinfo.com\/2022\/02\/20\/hakeri-upoznavanje-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">hakera<\/a> iz nekoliko razloga. Prvo, koristi se za daljinski pristup serverima i sistemima u cjelini, pa je stoga odli\u010dna osnova za infiltraciju. Iskori\u0161tavanje ranjivosti ili pogre\u0161nih konfiguracija u <em>PuTTY <\/em>klijentu mo\u017ee otkriti osjetljive podatke ili dozvoliti izvr\u0161avanje k\u00f4da na ciljanim ma\u0161inama. Dobijanje neovla\u0161tenog pristupa kroz <em>PuTTY<\/em> klijent mo\u017ee <a href=\"https:\/\/sajberinfo.com\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim akterima<\/a> omogu\u0107iti da postave <a href=\"https:\/\/sajberinfo.com\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>backdoor<\/em> <\/a>i omogu\u0107iti im kretanje kako bi pro\u0161irili svoj obim i uticaj.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sada je uo\u010dena zlonamjerna kampanja ogla\u0161avanja u kojoj zlonamjerni akteri koriste reklame koje se opona\u0161aju legitimni softver kao \u0161to je <em>PuTTY<\/em> za distribuciju programa za u\u010ditavanje <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a>. Ovi programi za u\u010ditavanje imaju za cilj da kompromituju sisteme i razmje\u0161taju dodatni <a href=\"https:\/\/sajberinfo.com\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisni teret<\/a> dok izbjegavaju otkrivanje.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U ovom slu\u010daju su zlonamjerni akteri je zakupio oglas koji la\u017eno tvrdi da je po\u010detna stranica <em>PuTTY<\/em> klijenta koji se pojavljuje na vrhu rezultata pretrage prije zvani\u010dne internet stranice. Kod potencijalnih \u017ertva iz Sjedinjenih Ameri\u010dkih Dr\u017eava dolazi do preusmjeravanja na la\u017enu <em>putty.org<\/em> stranicu, dok se drugi korisnici preusmjeravaju na legitimnu stranicu koja zaobilazi bezbjednosne provjere.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">\u010citav lanac je vi\u0161estepeni i ispituje <em>proxy<\/em> servere i evidentira <em>IP<\/em> adrese \u017ertava prije nego \u0161to im servira kona\u010dni sadr\u017eaj sa zlonamjernim softverom. Pona\u0161aju\u0107i se kao <em>PuTTY<\/em> klijent, ovaj program za ubacivanje je napisan u <em>Go<\/em> programskom jeziku, koji zlonamjernim akterima pru\u017ea ulaznu ta\u010dku u kompromitovane sisteme za budu\u0107u eksploataciju. Obmane ove kampanje i slo\u017eenost \u0161eme isporuke korisnog tereta otkrivaju u kojoj mjeri zlonamjerni akteri mogu \u0161iriti zlonamjerni softver, a da ne budu primije\u0107eni.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"FUNKCIONISANJE\"><\/span><span style=\"font-size: 14pt;\"><strong>FUNKCIONISANJE<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">\u017drtve iz SAD se preusmjeravaju na la\u017enu internet stranicu koja prikazuje <em>putty.org<\/em>, ali veza za preuzimanje je druga\u010dija i pokre\u0107e preusmjeravanje u dva koraka koji na kraju dovode do preuzimanje zlonamjerne izvr\u0161ne datoteke <em>PuTTY<\/em> klijenta sa adrese <em>astrosphere[.]world<\/em>. Server do kojeg vodi ova adresa vr\u0161i <em>proxy<\/em> provjeru i evidentira <em>IP<\/em> adresu \u017ertve vr\u0161e\u0107i pripremu za isporuku <em>Rhadamanthys<\/em> kradljivca.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Korisni teret maskiran kao <em>PuTTY.exe<\/em> je program za ubacivanje zlonamjernog softvera napravljen u programskom jeziku <em>Go<\/em> (verzija <em>1.21.0<\/em>), koji je njegov autor vjerovatno nazvao \u201c<em>Dropper 1.3<\/em>\u201d. Izvr\u0161enje ovog program za ubacivanje zlonamjernog softvera uklju\u010duje provjeru <em>IP<\/em> adrese kako bi se osiguralo da javna <em>IP<\/em> adresa \u017ertve odgovara onima na koje cilja zlonamjerni oglas.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Uspje\u0161na provjera zahteva preuzimanje pratec\u0301eg korisnog tereta sa zasebnog servera, koriste\u0107i <em>SSHv2<\/em> protokol za tajniji proces preuzimanja zlonamjernog softvera. Korisni teret koji se preuzima je <em>Rhadamanthys<\/em>, ozlogla\u0161eni kradljivac dizajniran da izvu\u010de vrijedne informacije.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Rhadamanthys_kradljivac\"><\/span><span style=\"font-size: 14pt;\"><strong><em>Rhadamanthys<\/em><\/strong> <strong>kradljivac<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>Rhadamanthys<\/em> kradljivac informacija je zlonamjerni softver napisan u <em>C++<\/em> programskom jeziku i prvi put je primije\u0107en 22. avgusta 2022. godine. Ovaj zlonamjerni softver i dalje dobija a\u017euriranja i redovne ispravke gre\u0161aka. Verzija <em>0.5.0<\/em> je omogu\u0107ila zlonamjernim akterima prilagodljivi okvir koji im omogu\u0107ava da se suprotstave bezbjednosnim mjerama i iskori\u0161\u0107avaju ranjivosti postavljanjem ciljanih dodataka kao \u0161to je <em>Data Spy<\/em> koji nadgleda <em>RDP<\/em> prijave. Tu su i pobolj\u0161anja u konstrukciji i izvr\u0161avanju, omogu\u0107avanje ciljanja nov\u010danika kriptovaluta i prilago\u0111avanja u akviziciji <em>Discord<\/em> tokena.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Verzija <em>0.5.1<\/em> je do\u0161la sa pobolj\u0161anim mogu\u0107nostima kra\u0111e i pobolj\u0161anjima koja uklju\u010duju novi sistem datoteka koji omogu\u0107ava pove\u0107ano prilago\u0111avanje za razli\u010dite potrebe distribucije. Zlonamjerni softver je postao moderniji i prilagodljivi. Tu je uklju\u010den dodatak <em>Clipper<\/em>, mogu\u0107nost oporavka izbrisanih <em>Google<\/em> kola\u010dic\u0301a naloga, opcije <em>Telegram<\/em> obavje\u0161tenja i mogu\u0107nost <em>Windows<\/em> <em>Defender<\/em> izbjegavanja. Trenutna verzija je <em>0.5.2<\/em>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Rhadamanthys<\/em> kradljivac funkcioni\u0161e kroz opciju zlonamjerni softver kao usluga (eng. <em>Malware-as-a-Service \u2013 MaaS<\/em>). Kompatibilan je sa raznim operativnim sistemima i prilago\u0111en je da podr\u017eava <em>x86<\/em> i <em>x64<\/em> arhitekturu. Zlonamjerni akteri koji razvijaju ovaj zlonamjerni softver tvrde da je sva mre\u017ena komunikacija <a href=\"https:\/\/sajberinfo.com\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovana<\/a> i da svaka struktura ima jedinstven <a href=\"https:\/\/sajberinfo.com\/2022\/04\/22\/enkripcija-podataka-upravljanje-kljucevima-i-nedostaci-enkripcije-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">klju\u010d za \u0161ifrovanje<\/a>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Rhadamanthys<\/em> kradljivac je namijenjen da da izdvoji niz podataka, uklju\u010duju\u0107i informacije iz sistemskih registara, detalje specifi\u010dne za ra\u010dunar i podatke internet pregleda\u010da. Prodaje se na namjenskom <em>Telegram<\/em> kanalu po cijeni oko 59 ameri\u010dkih dolara ili 999 ameri\u010dkih dolara za do\u017eivotni pristup.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Uticaj ove zlonamjerne kampanje ogla\u0161avanja predstavlja ozbiljnu opasnost za sistemske administratore i \u0161iru bezbjednosnu zajednicu. Sposobnost zlonamjernih aktera da iskoriste povjerenje u \u0161iroko kori\u0161\u0107ene alate kao \u0161to je <em>PuTTY<\/em> klijent nagla\u0161ava potrebu za stalnom budno\u0161\u0107u i ispitivanjem izvora. To postavlja i pitanja o potencijalu sli\u010dnih napada usmjerenih na drugi softver otvorenog k\u00f4da koji \u010dini okosnicu razli\u010ditih operativnih sistema.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sama upotreba programskog jezika <em>Go<\/em> za program za ubacivanje zlonamjernog softvera je primjetna, jer ukazuje na naprednu sofisticiranost zlonamjernih aktera i predstavlja izazov za<a href=\"https:\/\/sajberinfo.com\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\"> sajber bezbjednosti<\/a>, jer bezbjednosni timovi moraju da budu u toku sa najnovijim programskim jezicima i tehnikama koje napada\u010di koriste.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Iako je ova konkretna kampanja prijavljena kompaniji <em>Google<\/em>, ona samo pokazuje kako zlonamjerni akteri uvijek mijenjaju svoje tehnike kako bi izbjegli bezbjednosne kontrole i izaziva zabrinutost u vezi sa dugoro\u010dnim posljedicama ovakvih napada.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kako bi se za\u0161titi, korisnici mogu primijeniti sljede\u0107e preporuke:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Kori\u0161tenje provjerenih sigurnosnih rije\u0161enja opremljenih naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i sprije\u010dile zlonamjerne aktivnosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Sva preuzimanja na internetu trebaju biti obavljena sa zvani\u010dnih i provjerenih kanala,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Biti oprezan prilikom pretra\u017eivanja interneta, jer la\u017eni i opasni sadr\u017eaji obi\u010dno izgledaju autenti\u010dni i bezopasni,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Kori\u0161tene softvera ili dodataka za blokiranje oglasa je jednostavan i efikasan na\u010din za\u0161tite od zlonamjernog softvera. Kori\u0161tenje blokatora oglasa u kombinaciji sa drugim osnovnim za\u0161titama, kao \u0161to je <a href=\"https:\/\/sajberinfo.com\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusni softver<\/a> je dobra strategija za\u0161tite od ne\u017eeljenog zlonamjernog softvera,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Biti oprezan prilikom pretra\u017eivanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadr\u017ee zlonamjerni softver koji mo\u017ee zaraziti ure\u0111aj prilikom otvaranja takvih stranica,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno a\u017euriranje operativnog sistema i aplikacija, kako bi se na vrijeme ispravili sigurnosni propusti koje zlonamjerni softver mo\u017ee da iskoristi.<\/span><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>La\u017eni PuTTY klijent isporu\u010duje Rhadamanthys kradljivca kroz kampanju zlonamjernog ogla\u0161avanja. Zlonamjerni akteri iskori\u0161tavaju povjerenje u PuTTY kao \u0161iroko kori\u0161teni SSH i Telnet klijenta tako \u0161to predstavljaju la\u017enu internet lokaciju kroz zlonamjerne oglase koji se&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6399,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[641,310,752,93,231,341,952,953,291,954],"class_list":["post-6395","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-go","tag-maas","tag-malvertising","tag-malware","tag-malware-as-a-service","tag-payload","tag-putty","tag-rhadamanthys","tag-ssh","tag-telnet"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6395","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6395"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6395\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6399"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6395"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6395"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6395"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}