Антивирусная служба eScan, доставляющая обновления через HTTP, подверглась атаке и заражению хакерами

Хакеры использовали уязвимость в антивирусной службе для распространения вредоносного ПО среди ничего не подозревающих пользователей в течение ошеломляющих пяти лет. Атака была нацелена на eScan Antivirus, компанию, базирующуюся в Индии, которая доставляла обновления по HTTP — протоколу, известному своей восприимчивостью к кибератакам, которые манипулируют или компрометируют данные во время передачи. Исследователи безопасности из Avast обнаружили, что злоумышленники, возможно, связанные с правительством Северной Кореи, осуществили изощренную атаку «человек посередине» (MitM). Эта тактика заключалась в перехвате законных обновлений с серверов eScan и замене их вредоносными файлами, что в конечном итоге привело к установке бэкдора, известного как GuptiMiner.

Сложный характер атаки включал в себя цепочку инфекций. Первоначально приложения eScan взаимодействовали с системой обновлений, предоставляя злоумышленникам возможность перехватывать и заменять пакеты обновлений. Точный метод перехвата остается неясным, хотя исследователи предполагают, что взломанные сети могли способствовать злонамеренному перенаправлению трафика. Чтобы избежать обнаружения, вредоносное ПО использовало перехват DLL и серверы собственной системы доменных имен (DNS) для подключения к каналам, контролируемым злоумышленниками. В более поздних версиях атаки использовалась маскировка IP-адресов, чтобы запутать инфраструктуру управления и контроля (C&C) .

Кроме того, некоторые варианты вредоносного ПО скрывали свой вредоносный код в файлах изображений, что усложняло обнаружение. Кроме того, злоумышленники установили специальный корневой TLS-сертификат для удовлетворения требований к цифровой подписи определенных систем, гарантируя успешную установку вредоносного ПО. Удивительно, но помимо бэкдора полезная нагрузка включала XMRig , программное обеспечение для майнинга криптовалюты с открытым исходным кодом, что поднимает вопросы о мотивах злоумышленников.

Операция GuptiMiner выявила значительные недостатки безопасности в практике eScan, включая отсутствие HTTPS для доставки обновлений и отсутствие цифровой подписи для проверки целостности обновлений. Несмотря на эти недостатки, eScan не ответила на запросы относительно структуры процесса обновления.

Пользователям eScan Antivirus рекомендуется просмотреть сообщение Avast на предмет информации о потенциальных заражениях, хотя вполне вероятно, что большинство авторитетных антивирусных программ обнаружат эту угрозу. Этот инцидент подчеркивает важность надежных мер безопасности для защиты от изощренных кибератак.