EScan Antivirus Service, der leverer opdateringer over HTTP, blev angrebet og inficeret af hackere

Hackere udnyttede en sårbarhed i en antivirustjeneste til at distribuere malware til intetanende brugere i svimlende fem år. Angrebet var rettet mod eScan Antivirus, et firma baseret i Indien, som havde leveret opdateringer over HTTP, en protokol kendt for sin modtagelighed over for cyberangreb, der manipulerer eller kompromitterer data under transmission. Sikkerhedsforskere fra Avast afslørede, at gerningsmændene, muligvis knyttet til den nordkoreanske regering, udførte et sofistikeret man-in-the-middle-angreb (MitM). Denne taktik involverede at opsnappe legitime opdateringer fra eScans servere og erstatte dem med ondsindede filer, og i sidste ende installere en bagdør kendt som GuptiMiner.

Angrebets komplekse karakter involverede en kæde af infektioner. I starten kommunikerede eScan-applikationer med opdateringssystemet, hvilket gav mulighed for trusselsaktører til at opsnappe og erstatte opdateringspakkerne. Den nøjagtige metode til aflytning er stadig uklar, selvom forskere spekulerer i, at kompromitterede netværk kan have lettet den ondsindede omdirigering af trafik. For at undgå opdagelse brugte malwaren DLL-kapring og brugte servere til tilpasset domænenavnesystem (DNS) til at oprette forbindelse til angriberkontrollerede kanaler. Senere gentagelser af angrebet brugte IP-adressemaskering til at sløre kommando-og-kontrol-infrastrukturen (C&C) .

Derudover skjulte nogle varianter af malware deres ondsindede kode i billedfiler, hvilket gjorde detektion mere udfordrende. Desuden installerede angriberne et tilpasset rod-TLS-certifikat for at opfylde kravene til digital signering af visse systemer, hvilket sikrede en vellykket installation af malwaren. Overraskende nok, ved siden af bagdøren, inkluderede nyttelasten XMRig , en open source cryptocurrency-minesoftware, der rejste spørgsmål om angribernes motiver.

GuptiMiner-operationen afslørede betydelige sikkerhedsfejl i eScans praksis, herunder manglen på HTTPS til levering af opdateringer og fraværet af digital signering for at verificere opdateringsintegriteten. På trods af disse mangler svarede eScan ikke på forespørgsler vedrørende deres opdateringsprocesdesign.

Brugere af eScan Antivirus rådes til at gennemgå Avasts indlæg for information om potentielle infektioner, selvom det er sandsynligt, at de fleste velrenommerede antivirusprogrammer vil opdage denne trussel. Denne hændelse understreger vigtigheden af robuste sikkerhedsforanstaltninger for at sikre mod sofistikerede cyberangreb.