Avast сообщает о новой вредоносной кампании, в которой механизм обновления индийского антивирусного ПО
eScan использовался для доставки бэкдоров и майнеров криптовалюты в крупные корпоративные сети с помощью вредоносного ПО
GuptiMiner.
Исследователи описывают
GuptiMiner как очень сложную угрозу, по некоторым признакам связанную с северокорейской
Kimsuky и реализующую интересную цепочку заражения.
GuptiMiner может выполнять DNS-запросы к DNS-серверам злоумышленника, извлекать полезные данные из изображений, подписывать свои полезные данные и выполнять загрузку неопубликованных DLL.
Актор, стоящий за
GuptiMiner, реализовал AitM для перехвата пакета обновлений
eScan, заменяя его вредоносным с именем updll62.dlz.
Вредоносный файл помимо необходимых обновлений антивируса также включает
GuptiMiner в виде DLL-файла с именем version.dll.
Программа обновления
eScan обрабатывает пакет как обычно, распаковывая и выполняя его. На этом этапе DLL загружается легитимными двоичными файлами
eScan, предоставляя вредоносному ПО привилегии системного уровня.
Затем DLL извлекает дополнительные полезные данные из инфраструктуры, обеспечивает постоянство на хосте с помощью запланированных задач, выполняет манипуляции DNS, внедряет шелл-код в процессы, использует виртуализацию кода, сохраняет полезные данные, зашифрованные XOR, в реестре
Windows и извлекает PE из PNG-файлов.
Хакеры использовали
GuptiMiner для развертывания нескольких вредоносных ПО на скомпрометированных системах, включая два отдельных бэкдора и майнер
XMRig Monero.
Первый бэкдор представляет собой расширенную версию
Putty Link, развернутую в корпоративных системах для сканирования локальной сети на предмет уязвимых систем и опорных точек на предмет бокового перемещения.
Второй бэкдор представляет собой сложную модульную вредоносную программу, которая сканирует хост на предмет сохраненных личных ключей и криптовалютных кошельков.
Он способен принимать команды для установки дополнительных модулей в реестр, однако
Avast не предоставила дополнительных подробностей.
Злоумышленники также во многих случаях отключали
XMRig, что может быть попыткой отвлечь внимание от основной линии атаки.
Avast раскрыла использованную уязвимость в
eScan, а поставщик антивируса подтвердил и устранена проблему, которая оставалась незамеченной как минимум пять лет. Несмотря на это, в
Avast продолжают наблюдать новые заражения
GuptiMiner.
Полный список IoC
GuptiMiner можно найти на
GitHub.