Малварь GuptiMiner распространялась через обновления антивируса eScan - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Малварь GuptiMiner распространялась через обновления антивируса eScan - «Новости»

Эксперты Avast обнаружили, что северокорейские хакеры использовали механизм обновления индийского антивируса eScan для распространения вредоноса GuptiMiner, с помощью которого устанавливали бэкдоры в крупные корпоративные сети, а также доставляли криптовалютные майнеры.


Исследователи описывают GuptiMiner как «очень сложную угрозу», которая способна выполнять DNS-запросы к серверам злоумышленников, извлекать полезные нагрузки из изображений, подписывать собственные полезные нагрузки, а также выполнять боковую загрузку DLL.


Авторы GuptiMiner использовали MitM-атаки (Man-in-the-Middle), чтобы перехватывать настоящие пакеты обновлений антивируса (доставка которых осуществлялась посредством HTTP как минимум с 2019 года) и подменять их вредоносным файлом updll62.dlz. Этот файл содержал необходимые обновления антивирусных баз, а также малварь GuptiMiner (в виде DLL-файла с именем version.dll).


Исследователи Avast не успели понять, как именно злоумышленникам удалось осуществить сам перехват. Предполагается, что целевые сети, вероятно, были заранее скомпрометированы для перенаправления трафика злоумышленникам.


После получения обновления eScan обрабатывал пакет в обычном режиме, распаковывал и исполнял его. На этом этапе происходила боковая загрузка DLL легитимными бинарниками eScan, что в итоге давало вредоносу привилегии системного уровня.


Затем DLL получала дополнительные полезные нагрузки из инфраструктуры злоумышленников, закреплялась на хосте с помощью запланированных задач, выполняла манипуляции с DNS, внедряла шелл-код в легитимные процессы, использовала виртуализацию кода, сохраняла зашифрованные XOR полезные нагрузки в реестре Windows, а также извлекала PE из файлов PNG.


Кроме того, GuptiMiner проверял, обладает ли зараженная система процессором с четырьмя ядрами и более, а также 4 ГБ оперативной памяти (чтобы избежать песочницы), и определял, запущены ли Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor и OllyDbg. Также защитные продукты AhnLab и Cisco Talos деактивировались на зараженной машине, если они были запущены, а некоторые варианты цепочки заражения скрывали вредоносный код в картинках, чтобы его было труднее обнаружить.



Схема атаки

Исследователи Avast полагают, что GuptiMiner может быть связан с северокорейской APT-группировкой Kimsuki. Это предположение основано на сходстве между функциональностью для кражи данных и кейлогером Kimsuky, а также использовании домена mygamesonline[.]org, который нередко встречается в операциях группировки.


Сообщается, что хакеры использовали GuptiMiner для развертывания в системах жертв различных вредоносных программ, включая два разных бэкдора и майнер XMRig.


Первый бэкдор представляет собой улучшенную версию Putty Link, внедряемую в корпоративные системы для сканирования локальной сети в поисках уязвимых систем и отправных точек для бокового перемещения. Этот бэкдор специально ищет системы под управлением Windows 7 и Windows Server 2008, взламывая их с помощью туннелирования SMB-трафика.


Второй бэкдор представляет собой сложную модульную малварь, которая сканирует хост в поисках сохраненных приватных ключей и данных криптовалютных кошельков, а также создает ключ в реестре, обозначающий завершение сканирования, чтобы избежать «шумных» повторных сканов. Этот бэкдор способен принимать от своих операторов команды на установку дополнительных модулей в реестр, что еще больше расширяет его возможности.


Как уже было сказано выше, во многих случаях злоумышленники также устанавливали майнер XMRig, но исследователи полагают, что это могла быть попытка отвлечь внимание от основной атаки.


Специалисты Avast сообщают, что уведомили о проблеме разработчиков eScan и индийский CERT, и антивирусный вендор подтвердил, что в настоящее время угроза устранена.


Также в eScan сообщили, что последнее подобное уведомление было получено в 2019 году. В 2020 году производитель внедрил более надежный механизм проверки, чтобы убедиться, что неподписанные бинарники будут отвергаться. Также в последних реализациях eScan загрузка обновлений происходит через HTTPS.


Однако Avast предупреждает, что продолжает фиксировать новые случаи заражения GuptiMiner, что может свидетельствовать об использовании устаревших клиентов eScan.


Эксперты Avast обнаружили, что северокорейские хакеры использовали механизм обновления индийского антивируса eScan для распространения вредоноса GuptiMiner, с помощью которого устанавливали бэкдоры в крупные корпоративные сети, а также доставляли криптовалютные майнеры. Исследователи описывают GuptiMiner как «очень сложную угрозу», которая способна выполнять DNS-запросы к серверам злоумышленников, извлекать полезные нагрузки из изображений, подписывать собственные полезные нагрузки, а также выполнять боковую загрузку DLL. Авторы GuptiMiner использовали MitM-атаки (Man-in-the-Middle), чтобы перехватывать настоящие пакеты обновлений антивируса (доставка которых осуществлялась посредством HTTP как минимум с 2019 года) и подменять их вредоносным файлом updll62.dlz. Этот файл содержал необходимые обновления антивирусных баз, а также малварь GuptiMiner (в виде DLL-файла с именем version.dll). Исследователи Avast не успели понять, как именно злоумышленникам удалось осуществить сам перехват. Предполагается, что целевые сети, вероятно, были заранее скомпрометированы для перенаправления трафика злоумышленникам. После получения обновления eScan обрабатывал пакет в обычном режиме, распаковывал и исполнял его. На этом этапе происходила боковая загрузка DLL легитимными бинарниками eScan, что в итоге давало вредоносу привилегии системного уровня. Затем DLL получала дополнительные полезные нагрузки из инфраструктуры злоумышленников, закреплялась на хосте с помощью запланированных задач, выполняла манипуляции с DNS, внедряла шелл-код в легитимные процессы, использовала виртуализацию кода, сохраняла зашифрованные XOR полезные нагрузки в реестре Windows, а также извлекала PE из файлов PNG. Кроме того, GuptiMiner проверял, обладает ли зараженная система процессором с четырьмя ядрами и более, а также 4 ГБ оперативной памяти (чтобы избежать песочницы), и определял, запущены ли Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor и OllyDbg. Также защитные продукты AhnLab и Cisco Talos деактивировались на зараженной машине, если они были запущены, а некоторые варианты цепочки заражения скрывали вредоносный код в картинках, чтобы его было труднее обнаружить. Схема атаки Исследователи Avast полагают, что GuptiMiner может быть связан с северокорейской APT-группировкой Kimsuki. Это предположение основано на сходстве между функциональностью для кражи данных и кейлогером Kimsuky, а также использовании домена mygamesonline_
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: