Avast сообщает о новой вредоносной кампании, в которой механизм обновления индийского антивирусного ПО eScan использовался для доставки бэкдоров и майнеров криптовалюты в крупные корпоративные сети с помощью вредоносного ПО GuptiMiner.
Исследователи описывают GuptiMiner как очень сложную угрозу, по некоторым признакам связанную с северокорейской Kimsuky и реализующую интересную цепочку заражения.
GuptiMiner может выполнять DNS-запросы к DNS-серверам злоумышленника, извлекать полезные данные из изображений, подписывать свои полезные данные и выполнять загрузку неопубликованных DLL.
Актор, стоящий за GuptiMiner, реализовал AitM для перехвата пакета обновлений eScan, заменяя его вредоносным с именем updll62.dlz.
Вредоносный файл помимо необходимых обновлений антивируса также включает GuptiMiner в виде DLL-файла с именем version.dll.
Программа обновления eScan обрабатывает пакет как обычно, распаковывая и выполняя его. На этом этапе DLL загружается легитимными двоичными файлами eScan, предоставляя вредоносному ПО привилегии системного уровня.
Затем DLL извлекает дополнительные полезные данные из инфраструктуры, обеспечивает постоянство на хосте с помощью запланированных задач, выполняет манипуляции DNS, внедряет шелл-код в процессы, использует виртуализацию кода, сохраняет полезные данные, зашифрованные XOR, в реестре Windows и извлекает PE из PNG-файлов.
Хакеры использовали GuptiMiner для развертывания нескольких вредоносных ПО на скомпрометированных системах, включая два отдельных бэкдора и майнер XMRig Monero.
Первый бэкдор представляет собой расширенную версию Putty Link, развернутую в корпоративных системах для сканирования локальной сети на предмет уязвимых систем и опорных точек на предмет бокового перемещения.
Второй бэкдор представляет собой сложную модульную вредоносную программу, которая сканирует хост на предмет сохраненных личных ключей и криптовалютных кошельков.
Он способен принимать команды для установки дополнительных модулей в реестр, однако Avast не предоставила дополнительных подробностей.
Злоумышленники также во многих случаях отключали XMRig, что может быть попыткой отвлечь внимание от основной линии атаки.
Avast раскрыла использованную уязвимость в eScan, а поставщик антивируса подтвердил и устранена проблему, которая оставалась незамеченной как минимум пять лет. Несмотря на это, в Avast продолжают наблюдать новые заражения GuptiMiner.
Полный список IoC GuptiMiner можно найти на GitHub.
>>Click here to continue<<