HTTP를 통해 업데이트를 제공하는 eScan 바이러스 백신 서비스가 해커의 공격을 받아 감염되었습니다.

해커들은 바이러스 백신 서비스의 취약점을 악용하여 무려 5년 동안 의심하지 않는 사용자에게 악성 코드를 배포했습니다. 공격은 전송 중에 데이터를 조작하거나 손상시키는 사이버 공격에 취약한 것으로 알려진 프로토콜인 HTTP를 통해 업데이트를 제공하고 있던 인도에 본사를 둔 회사인 eScan Antivirus를 표적으로 삼았습니다. Avast의 보안 연구원들은 북한 정부와 연관되었을 가능성이 있는 가해자가 정교한 MitM(중간자) 공격을 실행했다는 사실을 밝혔습니다. 이 전술에는 eScan 서버에서 합법적인 업데이트를 가로채서 악성 파일로 교체하고 궁극적으로 GuptiMiner라는 백도어를 설치하는 것이 포함되었습니다.

공격의 복잡한 성격에는 일련의 감염이 포함되었습니다. 처음에 eScan 애플리케이션은 업데이트 시스템과 통신하여 위협 행위자가 업데이트 패키지를 가로채서 교체할 수 있는 기회를 제공했습니다. 정확한 차단 방법은 여전히 불분명하지만 연구원들은 손상된 네트워크가 트래픽의 악의적인 리디렉션을 촉진했을 수 있다고 추측하고 있습니다. 탐지를 회피하기 위해 악성코드는 DLL 하이재킹을 사용하고 공격자가 제어하는 채널에 연결하기 위해 사용자 지정 DNS(도메인 이름 시스템) 서버를 활용했습니다. 이후 공격에서는 명령 및 제어(C&C) 인프라를 난독화하기 위해 IP 주소 마스킹을 사용했습니다.

또한 일부 악성 코드 변종은 이미지 파일 내에 악성 코드를 숨겨 탐지를 더욱 어렵게 만들었습니다. 또한 공격자는 특정 시스템의 디지털 서명 요구 사항을 충족하기 위해 사용자 지정 루트 TLS 인증서를 설치하여 악성 코드가 성공적으로 설치되도록 했습니다. 놀랍게도 페이로드에는 백도어와 함께 오픈 소스 암호화폐 채굴 소프트웨어인 XMRig가 포함되어 있어 공격자의 동기에 대한 의문이 제기되었습니다.

GuptiMiner 작업에서는 업데이트 전달을 위한 HTTPS가 부족하고 업데이트 무결성을 확인하기 위한 디지털 서명이 없는 등 eScan 관행에서 심각한 보안 결함이 드러났습니다. 이러한 단점에도 불구하고 eScan은 업데이트 프로세스 설계에 관한 문의에 응답하지 않았습니다.

eScan Antivirus 사용자는 Avast의 게시물을 검토하여 잠재적인 감염에 대한 정보를 검토하는 것이 좋지만 대부분의 평판이 좋은 바이러스 백신 프로그램이 이 위협을 감지할 가능성이 높습니다. 이번 사건은 정교한 사이버 공격으로부터 보호하기 위한 강력한 보안 조치의 중요성을 강조합니다.