Avast сообщает о новой вредоносной кампании, в которой механизм обновления индийского антивирусного ПО eScan использовался для доставки бэкдоров и майнеров криптовалюты в крупные корпоративные сети с помощью вредоносного ПО GuptiMiner.

Исследователи описывают GuptiMiner как очень сложную угрозу, по некоторым признакам связанную с северокорейской Kimsuky и реализующую интересную цепочку заражения.

GuptiMiner может выполнять DNS-запросы к DNS-серверам злоумышленника, извлекать полезные данные из изображений, подписывать свои полезные данные и выполнять загрузку неопубликованных DLL.

Актор, стоящий за GuptiMiner, реализовал AitM для перехвата пакета обновлений eScan, заменяя его вредоносным с именем updll62.dlz.

Вредоносный файл помимо необходимых обновлений антивируса также включает GuptiMiner в виде DLL-файла с именем version.dll.

Программа обновления eScan обрабатывает пакет как обычно, распаковывая и выполняя его. На этом этапе DLL загружается легитимными двоичными файлами eScan, предоставляя вредоносному ПО привилегии системного уровня.

Затем DLL извлекает дополнительные полезные данные из инфраструктуры, обеспечивает постоянство на хосте с помощью запланированных задач, выполняет манипуляции DNS, внедряет шелл-код в процессы, использует виртуализацию кода, сохраняет полезные данные, зашифрованные XOR, в реестре Windows и извлекает PE из PNG-файлов.

Хакеры использовали GuptiMiner для развертывания нескольких вредоносных ПО на скомпрометированных системах, включая два отдельных бэкдора и майнер XMRig Monero.

Первый бэкдор представляет собой расширенную версию Putty Link, развернутую в корпоративных системах для сканирования локальной сети на предмет уязвимых систем и опорных точек на предмет бокового перемещения.

Второй бэкдор представляет собой сложную модульную вредоносную программу, которая сканирует хост на предмет сохраненных личных ключей и криптовалютных кошельков.

Он способен принимать команды для установки дополнительных модулей в реестр, однако Avast не предоставила дополнительных подробностей.

Злоумышленники также во многих случаях отключали XMRig, что может быть попыткой отвлечь внимание от основной линии атаки.

Avast раскрыла использованную уязвимость в eScan, а поставщик антивируса подтвердил и устранена проблему, которая оставалась незамеченной как минимум пять лет. Несмотря на это, в Avast продолжают наблюдать новые заражения GuptiMiner.

Полный список IoC GuptiMiner можно найти на GitHub.

SecAtor

Avast сообщает о новой вредоносной кампании, в которой механизм обновления индийского антивирусного ПО eScan использовался для доставки бэкдоров и майнеров криптовалюты в крупные корпоративные сети с помощью вредоносного ПО GuptiMiner.

Исследователи описывают GuptiMiner как очень сложную угрозу, по некоторым признакам связанную с северокорейской Kimsuky и реализующую интересную цепочку заражения.

GuptiMiner может выполнять DNS-запросы к DNS-серверам злоумышленника, извлекать полезные данные из изображений, подписывать свои полезные данные и выполнять загрузку неопубликованных DLL.

Актор, стоящий за GuptiMiner, реализовал AitM для перехвата пакета обновлений eScan, заменяя его вредоносным с именем updll62.dlz.

Вредоносный файл помимо необходимых обновлений антивируса также включает GuptiMiner в виде DLL-файла с именем version.dll.

Программа обновления eScan обрабатывает пакет как обычно, распаковывая и выполняя его. На этом этапе DLL загружается легитимными двоичными файлами eScan, предоставляя вредоносному ПО привилегии системного уровня.

Затем DLL извлекает дополнительные полезные данные из инфраструктуры, обеспечивает постоянство на хосте с помощью запланированных задач, выполняет манипуляции DNS, внедряет шелл-код в процессы, использует виртуализацию кода, сохраняет полезные данные, зашифрованные XOR, в реестре Windows и извлекает PE из PNG-файлов.

Хакеры использовали GuptiMiner для развертывания нескольких вредоносных ПО на скомпрометированных системах, включая два отдельных бэкдора и майнер XMRig Monero.

Первый бэкдор представляет собой расширенную версию Putty Link, развернутую в корпоративных системах для сканирования локальной сети на предмет уязвимых систем и опорных точек на предмет бокового перемещения.

Второй бэкдор представляет собой сложную модульную вредоносную программу, которая сканирует хост на предмет сохраненных личных ключей и криптовалютных кошельков.

Он способен принимать команды для установки дополнительных модулей в реестр, однако Avast не предоставила дополнительных подробностей.

Злоумышленники также во многих случаях отключали XMRig, что может быть попыткой отвлечь внимание от основной линии атаки.

Avast раскрыла использованную уязвимость в eScan, а поставщик антивируса подтвердил и устранена проблему, которая оставалась незамеченной как минимум пять лет. Несмотря на это, в Avast продолжают наблюдать новые заражения GuptiMiner.

Полный список IoC GuptiMiner можно найти на GitHub.

Avast Threat Labs

GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining - Avast Threat Labs

Avast discovered and analyzed GuptiMiner, a malware campaign hijacking an eScan antivirus update mechanism to distribute backdoors and coinminers.

hottg.com/true_secator/5673

11.1K viewsApr 24 at 17:01