سرویس آنتی ویروس eScan که به روز رسانی را از طریق HTTP ارائه می دهد توسط هکرها مورد حمله قرار گرفت و آلوده شد

هکرها از یک آسیب پذیری در یک سرویس آنتی ویروس برای توزیع بدافزار بین کاربران ناآگاه به مدت حیرت آور برای پنج سال سوء استفاده کردند. این حمله آنتی ویروس eScan را هدف قرار داد، شرکتی مستقر در هند، که به‌روزرسانی‌ها را از طریق HTTP ارائه می‌کرد، پروتکلی که به دلیل حساسیت به حملات سایبری که داده‌ها را در حین انتقال دستکاری یا به خطر می‌اندازد، شناخته شده است. محققان امنیتی Avast فاش کردند که عاملان، احتمالاً مرتبط با دولت کره شمالی، یک حمله پیچیده مرد میانی (MitM) را اجرا کردند. این تاکتیک شامل رهگیری به‌روزرسانی‌های قانونی از سرورهای eScan و جایگزینی آنها با فایل‌های مخرب، و در نهایت نصب یک درب پشتی به نام GuptiMiner بود.

ماهیت پیچیده این حمله شامل زنجیره ای از عفونت ها بود. در ابتدا، برنامه‌های eScan با سیستم به‌روزرسانی ارتباط برقرار می‌کردند و فرصتی را برای عوامل تهدید برای رهگیری و جایگزینی بسته‌های به‌روزرسانی فراهم می‌کردند. روش دقیق رهگیری همچنان نامشخص است، اگرچه محققان حدس می زنند که شبکه های در معرض خطر ممکن است هدایت مجدد مخرب ترافیک را تسهیل کرده باشند. برای فرار از شناسایی، بدافزار از سرقت DLL استفاده کرد و از سرورهای سیستم نام دامنه سفارشی (DNS) برای اتصال به کانال‌های تحت کنترل مهاجم استفاده کرد. تکرارهای بعدی حمله از پوشاندن آدرس IP برای مبهم کردن زیرساخت فرمان و کنترل (C&C) استفاده کرد.

علاوه بر این، برخی از انواع این بدافزار کد مخرب خود را در فایل‌های تصویری پنهان می‌کردند و تشخیص را چالش‌برانگیزتر می‌کردند. علاوه بر این، مهاجمان یک گواهینامه ریشه TLS سفارشی را برای برآورده کردن الزامات امضای دیجیتال برخی از سیستم‌ها نصب کردند و از نصب موفقیت‌آمیز بدافزار اطمینان حاصل کردند. با کمال تعجب، در کنار درب پشتی، محموله شامل XMRig ، یک نرم‌افزار استخراج ارز دیجیتال منبع باز بود که سوالاتی را در مورد انگیزه مهاجمان ایجاد کرد.

عملیات GuptiMiner نقص‌های امنیتی قابل توجهی را در شیوه‌های eScan نشان داد، از جمله فقدان HTTPS برای تحویل به‌روزرسانی و عدم وجود امضای دیجیتال برای تأیید یکپارچگی به‌روزرسانی. با وجود این کاستی ها، eScan به سوالات مربوط به طراحی فرآیند به روز رسانی آنها پاسخ نداد.

به کاربران آنتی‌ویروس eScan توصیه می‌شود که پست Avast را برای اطلاعات در مورد عفونت‌های احتمالی بررسی کنند، اگرچه به احتمال زیاد اکثر برنامه‌های آنتی‌ویروس معتبر این تهدید را شناسایی می‌کنند. این حادثه بر اهمیت تدابیر امنیتی قوی در محافظت در برابر حملات سایبری پیچیده تاکید می کند.