Hackerii din Coreea de Nord au exploatat mecanismul de actualizare al antivirusului eScan pentru a planta backdoor-uri pe retelele corporative mari si a livra mineri de criptomonede prin malware-ul GuptiMiner.
Cercetatorii descriu GuptiMiner ca fiind „o amenintare extrem de sofisticata” care poate efectua cereri DNS catre serverele DNS ale atacatorului, extrage incarcaturi din imagini, semneaza incarcaturile sale si efectueaza incarcarea laterala DLL.
Intr-un raport publicat astazi, compania de securitate cibernetica Avast spune ca actorul de amenintare din spatele GuptiMiner avea o pozitie de adversar-in-the-middle (AitM) pentru a prelua pachetul normal de actualizare a definitiilor virusului si a-l inlocui cu unul malefic numit „updll62.dlz”.
Fisierul malefic include actualizarile antivirus necesare precum si un malware GuptiMiner sub forma unui fisier DLL numit „version.dll”.
Actualizatorul eScan proceseaza pachetul ca de obicei, il dezarhiveaza si il executa. In timpul acelei etape, DLL-ul este incarcat lateral de binarele legitime ale eScan, oferind malware-ului privilegii la nivel de sistem.
Urmatorul pas, DLL-ul preia incarcaturi suplimentare din infrastructura atacatorului, stabileste persistenta pe gazda prin sarcini programate, efectueaza manipularea DNS, injecteaza shellcode in procesele legitime, utilizeaza virtualizarea codului, stocheaza incarcaturi criptate XOR in registrul Windows si extrage PEs din PNG-uri.
GuptiMiner verifica, de asemenea, daca sistemul pe care ruleaza are mai mult de 4 nuclee CPU si 4GB de RAM pentru a evita mediile sandbox, si determina daca Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor si OllyDbg ruleaza activ.
Produsele AhnLab si Cisco Talos sunt de asemenea dezactivate daca ruleaza pe masina compromisa. Mai jos este un diagram complet al lantului de infectie:
Cercetatorii Avast spun ca GuptiMiner ar putea fi legat de grupul de APT nord-coreean Kimsuki, pe baza similaritatilor dintre functia de furt de informatii si keyloggerul Kimsuky.
Cercetatorii au descoperit de asemenea ca unele parti ale operatiunii GuptiMiner sugereaza o posibila conexiune cu Kimsuki. O similitudine este utilizarea domeniului mygamesonline[.]org, care este de obicei observat in operatiunile Kimsuky.
Hackerii au folosit GuptiMiner pentru a implementa mai multe malware pe sistemele compromise, incluzand doua backdoor-uri distincte si minerul Monero XMRig.
Primul backdoor este o versiune imbunatatita a Putty Link, implementata pe sistemele corporative pentru a scana reteaua locala in cautarea sistemelor vulnerabile si a punctelor pivot pentru miscari laterale.
In mod specific, cauta sistemele Windows 7 si Windows Server 2008, exploatandu-le prin tunelarea traficului SMB.
Al doilea backdoor este un malware modular complex care scaneaza gazda pentru cheile private stocate si portofelele de criptomonede, si creeaza o cheie de registru pentru a marca finalizarea scanarii, pentru a evita repetarile zgomotoase.
Poate accepta comenzi pentru a instala module suplimentare in registrul, imbunatatind in continuare capacitatile sale in medii infectate. Cu toate acestea, Avast nu a furnizat detalii suplimentare.
Atacatorii au lasat de asemenea minerul XMRig in multe cazuri, ceea ce este in contrast cu sofisticarea expusa in campania analizata si ar putea fi o incercare de a devia atentia de la linia principala a atacului.
Cercetatorii Avast au dezvaluit vulnerabilitatea exploatata catre eScan si furnizorul de antivirus a confirmat ca problema a fost rezolvata.
eScan a spus de asemenea ca ultimul raport similar pe care l-au primit a fost in 2019. In 2020, vendorul a implementat un mecanism de verificare mai robust pentru a se asigura ca binarele nesemnate erau respinse.
În implementarea cea mai recenta, descarcarile de actualizare eScan au loc prin HTTPS pentru a asigura comunicarea criptata pentru clientii care interactioneaza cu serverele orientate catre cloud ale vendorului.
Cu toate acestea, Avast raporteaza ca continua sa observe noi infectii cu GuptiMiner, ceea ce ar putea indica clienti eScan invechiti.
Lista completa a indicatorilor de compromis GuptiMiner (IoCs) pentru a ajuta la contracararea acestei amenintari poate fi gasita pe aceasta pagina GitHub.
Defectele ScreenConnect sunt exploatate pentru a plasa noul malware ToddlerShark
Malware-ul Stealthy GTPDOOR Linux vizeaza retelele operatorilor mobili
Japonia avertizeaza impotriva pachetelor malitioase PyPi create de hackerii nord-coreeni
GitLab afectat de o defectiune asemanatoare cu CDN-ul GitHub care permite gazduirea de malware
Comentariile GitHub sunt abuzate pentru a plasa malware prin URL-uri de repo Microsoft
Leave a Reply