Малварь GuptiMiner распространялась через обновления антивируса eScan - «Новости» » Интернет технологии
sitename
Энтузиаст превратил игры из Steam в настоящие картриджи — с помощью старых SSD и скрипта - «Новости сети»
Энтузиаст превратил игры из Steam в настоящие картриджи — с помощью старых SSD и скрипта - «Новости сети»
OpenAI представила первый гаджет — клавиатуру для управления ИИ-агентами Codex - «Новости сети»
OpenAI представила первый гаджет — клавиатуру для управления ИИ-агентами Codex - «Новости сети»
ASML готовится поднять цены на оборудование для выпуска чипов, чем сильно разозлила TSMC - «Новости сети»
ASML готовится поднять цены на оборудование для выпуска чипов, чем сильно разозлила TSMC - «Новости сети»
Вампирская ролевая игра The Blood of Dawnwalker от ведущих разработчиков The Witcher 3 и Cyberpunk 2077 ушла на золото за полтора месяца до релиза - «Новости сети»
Вампирская ролевая игра The Blood of Dawnwalker от ведущих разработчиков The Witcher 3 и Cyberpunk 2077 ушла на золото за полтора месяца до релиза - «Новости сети»
Домашний интернет в России дорожает всё быстрее — и это ещё не предел - «Новости сети»
Домашний интернет в России дорожает всё быстрее — и это ещё не предел - «Новости сети»
Системы хранения данных QNAP
Системы хранения данных QNAP
Зарубежные SIM-карты больше не позволяют обходить блокировки - «Новости»
Зарубежные SIM-карты больше не позволяют обходить блокировки - «Новости»
Один из разработчиков OpenMandriva Linux пытался саботировать проект - «Новости»
Один из разработчиков OpenMandriva Linux пытался саботировать проект - «Новости»
Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости»
Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости»
СМИ: пользователей хостинга могут обязать проходить идентификацию через «Госуслуги» - «Новости»
СМИ: пользователей хостинга могут обязать проходить идентификацию через «Госуслуги» - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Малварь GuptiMiner распространялась через обновления антивируса eScan - «Новости»

Эксперты Avast обнаружили, что северокорейские хакеры использовали механизм обновления индийского антивируса eScan для распространения вредоноса GuptiMiner, с помощью которого устанавливали бэкдоры в крупные корпоративные сети, а также доставляли криптовалютные майнеры.


Исследователи описывают GuptiMiner как «очень сложную угрозу», которая способна выполнять DNS-запросы к серверам злоумышленников, извлекать полезные нагрузки из изображений, подписывать собственные полезные нагрузки, а также выполнять боковую загрузку DLL.


Авторы GuptiMiner использовали MitM-атаки (Man-in-the-Middle), чтобы перехватывать настоящие пакеты обновлений антивируса (доставка которых осуществлялась посредством HTTP как минимум с 2019 года) и подменять их вредоносным файлом updll62.dlz. Этот файл содержал необходимые обновления антивирусных баз, а также малварь GuptiMiner (в виде DLL-файла с именем version.dll).


Исследователи Avast не успели понять, как именно злоумышленникам удалось осуществить сам перехват. Предполагается, что целевые сети, вероятно, были заранее скомпрометированы для перенаправления трафика злоумышленникам.


После получения обновления eScan обрабатывал пакет в обычном режиме, распаковывал и исполнял его. На этом этапе происходила боковая загрузка DLL легитимными бинарниками eScan, что в итоге давало вредоносу привилегии системного уровня.


Затем DLL получала дополнительные полезные нагрузки из инфраструктуры злоумышленников, закреплялась на хосте с помощью запланированных задач, выполняла манипуляции с DNS, внедряла шелл-код в легитимные процессы, использовала виртуализацию кода, сохраняла зашифрованные XOR полезные нагрузки в реестре Windows, а также извлекала PE из файлов PNG.


Кроме того, GuptiMiner проверял, обладает ли зараженная система процессором с четырьмя ядрами и более, а также 4 ГБ оперативной памяти (чтобы избежать песочницы), и определял, запущены ли Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor и OllyDbg. Также защитные продукты AhnLab и Cisco Talos деактивировались на зараженной машине, если они были запущены, а некоторые варианты цепочки заражения скрывали вредоносный код в картинках, чтобы его было труднее обнаружить.



Схема атаки

Исследователи Avast полагают, что GuptiMiner может быть связан с северокорейской APT-группировкой Kimsuki. Это предположение основано на сходстве между функциональностью для кражи данных и кейлогером Kimsuky, а также использовании домена mygamesonline[.]org, который нередко встречается в операциях группировки.


Сообщается, что хакеры использовали GuptiMiner для развертывания в системах жертв различных вредоносных программ, включая два разных бэкдора и майнер XMRig.


Первый бэкдор представляет собой улучшенную версию Putty Link, внедряемую в корпоративные системы для сканирования локальной сети в поисках уязвимых систем и отправных точек для бокового перемещения. Этот бэкдор специально ищет системы под управлением Windows 7 и Windows Server 2008, взламывая их с помощью туннелирования SMB-трафика.


Второй бэкдор представляет собой сложную модульную малварь, которая сканирует хост в поисках сохраненных приватных ключей и данных криптовалютных кошельков, а также создает ключ в реестре, обозначающий завершение сканирования, чтобы избежать «шумных» повторных сканов. Этот бэкдор способен принимать от своих операторов команды на установку дополнительных модулей в реестр, что еще больше расширяет его возможности.


Как уже было сказано выше, во многих случаях злоумышленники также устанавливали майнер XMRig, но исследователи полагают, что это могла быть попытка отвлечь внимание от основной атаки.


Специалисты Avast сообщают, что уведомили о проблеме разработчиков eScan и индийский CERT, и антивирусный вендор подтвердил, что в настоящее время угроза устранена.


Также в eScan сообщили, что последнее подобное уведомление было получено в 2019 году. В 2020 году производитель внедрил более надежный механизм проверки, чтобы убедиться, что неподписанные бинарники будут отвергаться. Также в последних реализациях eScan загрузка обновлений происходит через HTTPS.


Однако Avast предупреждает, что продолжает фиксировать новые случаи заражения GuptiMiner, что может свидетельствовать об использовании устаревших клиентов eScan.


Эксперты Avast обнаружили, что северокорейские хакеры использовали механизм обновления индийского антивируса eScan для распространения вредоноса GuptiMiner, с помощью которого устанавливали бэкдоры в крупные корпоративные сети, а также доставляли криптовалютные майнеры. Исследователи описывают GuptiMiner как «очень сложную угрозу», которая способна выполнять DNS-запросы к серверам злоумышленников, извлекать полезные нагрузки из изображений, подписывать собственные полезные нагрузки, а также выполнять боковую загрузку DLL. Авторы GuptiMiner использовали MitM-атаки (Man-in-the-Middle), чтобы перехватывать настоящие пакеты обновлений антивируса (доставка которых осуществлялась посредством HTTP как минимум с 2019 года) и подменять их вредоносным файлом updll62.dlz. Этот файл содержал необходимые обновления антивирусных баз, а также малварь GuptiMiner (в виде DLL-файла с именем version.dll). Исследователи Avast не успели понять, как именно злоумышленникам удалось осуществить сам перехват. Предполагается, что целевые сети, вероятно, были заранее скомпрометированы для перенаправления трафика злоумышленникам. После получения обновления eScan обрабатывал пакет в обычном режиме, распаковывал и исполнял его. На этом этапе происходила боковая загрузка DLL легитимными бинарниками eScan, что в итоге давало вредоносу привилегии системного уровня. Затем DLL получала дополнительные полезные нагрузки из инфраструктуры злоумышленников, закреплялась на хосте с помощью запланированных задач, выполняла манипуляции с DNS, внедряла шелл-код в легитимные процессы, использовала виртуализацию кода, сохраняла зашифрованные XOR полезные нагрузки в реестре Windows, а также извлекала PE из файлов PNG. Кроме того, GuptiMiner проверял, обладает ли зараженная система процессором с четырьмя ядрами и более, а также 4 ГБ оперативной памяти (чтобы избежать песочницы), и определял, запущены ли Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor и OllyDbg. Также защитные продукты AhnLab и Cisco Talos деактивировались на зараженной машине, если они были запущены, а некоторые варианты цепочки заражения скрывали вредоносный код в картинках, чтобы его было труднее обнаружить. Схема атаки Исследователи Avast полагают, что GuptiMiner может быть связан с северокорейской APT-группировкой Kimsuki. Это предположение основано на сходстве между функциональностью для кражи данных и кейлогером Kimsuky, а также использовании домена mygamesonline_
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: