EScan Antivirus Service som leverer oppdateringer over HTTP ble angrepet og infisert av hackere

Hackere utnyttet en sårbarhet i en antivirustjeneste for å distribuere skadelig programvare til intetanende brukere i svimlende fem år. Angrepet var rettet mot eScan Antivirus, et selskap basert i India, som hadde levert oppdateringer over HTTP, en protokoll kjent for sin mottakelighet for nettangrep som manipulerer eller kompromitterer data under overføring. Sikkerhetsforskere fra Avast avslørte at gjerningsmennene, muligens knyttet til den nordkoreanske regjeringen, utførte et sofistikert mann-i-middel-angrep (MitM). Denne taktikken innebar å avskjære legitime oppdateringer fra eScans servere og erstatte dem med ondsinnede filer, og til slutt installere en bakdør kjent som GuptiMiner.

Angrepets komplekse natur involverte en kjede av infeksjoner. I utgangspunktet kommuniserte eScan-applikasjoner med oppdateringssystemet, noe som ga trusselaktører en mulighet til å avskjære og erstatte oppdateringspakkene. Den nøyaktige metoden for avskjæring er fortsatt uklar, selv om forskere spekulerer i at kompromitterte nettverk kan ha tilrettelagt for ondsinnet omdirigering av trafikk. For å unngå oppdagelse, brukte skadelig programvare DLL-kapring og brukte tilpassede domenenavnsystem-servere (DNS) for å koble til angriperkontrollerte kanaler. Senere iterasjoner av angrepet brukte IP-adressemaskering for å tilsløre kommando-og-kontroll-infrastrukturen (C&C) .

I tillegg gjemte noen varianter av skadelig programvare den skadelige koden i bildefiler, noe som gjorde gjenkjenning mer utfordrende. Dessuten installerte angriperne et tilpasset rot-TLS-sertifikat for å oppfylle kravene til digital signering av visse systemer, og sikre vellykket installasjon av skadelig programvare. Overraskende nok, ved siden av bakdøren, inkluderte nyttelasten XMRig , en åpen kildekodeprogramvare for gruvedrift for kryptovaluta, som reiste spørsmål om angripernes motiver.

GuptiMiner-operasjonen avslørte betydelige sikkerhetsfeil i eScans praksis, inkludert mangel på HTTPS for oppdateringslevering og fravær av digital signering for å bekrefte oppdateringsintegritet. Til tross for disse manglene, svarte ikke eScan på henvendelser angående oppdateringsprosessens design.

Brukere av eScan Antivirus anbefales å gå gjennom Avasts innlegg for informasjon om potensielle infeksjoner, selv om det er sannsynlig at de fleste anerkjente antivirusprogrammer vil oppdage denne trusselen. Denne hendelsen understreker viktigheten av robuste sikkerhetstiltak for å sikre seg mot sofistikerte cyberangrep.