Северокорейские хакеры начали использовать механизм обновления антивируса eScan, чтобы устанавливать бэкдоры в крупных корпоративных сетях и доставлять майнеры криптовалютных активов с использованием вредоносного ПО GuptiMiner. Об этотм накануне рассказали эксперты по кибербезопасности из Avast.
По словам специалистов по информационной безопасности из компании Avast, вредонос GuptiMiner выступает в качестве серьёзной киберугрозы, которая может выполнять DNS-запросы к DNS-серверам злоумышленника, извлекать полезные данные из изображений, подписывать свои полезные данные и выполнять загрузку неопубликованных DLL. В опубликованном отчёте компания Avast заявила, что хакеры, стоящие за GuptiMiner, имели позицию «противник посередине» (AitM), чтобы перехватить обычный пакет обновлений описаний вирусов и заменить его вредоносным пакетом с именем «updll62.dlz».
Вредоносный файл включает в себя необходимые обновления антивируса, а также вредоносное ПО GuptiMiner в виде DLL-файла с именем «version.dll». Программа обновления eScan обрабатывает пакет как обычно, распаковывая и выполняя его. На этом этапе DLL загружается легитимными двоичными файлами eScan, предоставляя вредоносному ПО привилегии системного уровня.
Затем DLL извлекает дополнительные полезные данные из инфраструктуры злоумышленника, обеспечивает постоянство на хосте с помощью запланированных задач, выполняет манипуляции DNS, внедряет шелл-код в законные процессы, использует виртуализацию кода, сохраняет полезные данные, зашифрованные XOR, в реестре Windows и извлекает PE из PNG-файлов. GuptiMiner также проверяет, имеет ли система, которую он запускает, более 4 ядер ЦП и 4 ГБ ОЗУ, чтобы избежать использования песочницы, и определяет, активны ли Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor и OllyDbg. Продукты AhnLab и Cisco Talos также деактивируются, если они работают на взломанной машине.
Исследователи из Avast говорят, что GuptiMiner может быть связан с северокорейской APT-группой Kimsuki, основываясь на сходстве между функцией кражи информации и кейлоггером Kimsuky. Исследователи также обнаружили, что некоторые части операции GuptiMiner предполагают возможную связь с Kimsuki. Общим является использование домена mygamesonline[.]org, который обычно используется в операциях Kimsuki.
Оригинал публикации на сайте CISOCLUB: "Хакеры взломали обновления антивируса eScan для установки бэкдоров".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.