EScan Antivirus Service som levererar uppdateringar över HTTP attackerades och infekterades av hackare

Hackare utnyttjade en sårbarhet i en antivirustjänst för att distribuera skadlig programvara till intet ont anande användare under häpnadsväckande fem år. Attacken riktade sig till eScan Antivirus, ett företag baserat i Indien, som hade levererat uppdateringar över HTTP, ett protokoll känt för sin mottaglighet för cyberattacker som manipulerar eller äventyrar data under överföring. Säkerhetsforskare från Avast avslöjade att förövarna, möjligen kopplade till den nordkoreanska regeringen, utförde en sofistikerad man-i-mitten-attack (MitM). Denna taktik innebar att avlyssna legitima uppdateringar från eScans servrar och ersätta dem med skadliga filer, vilket slutligen installerade en bakdörr känd som GuptiMiner.

Attackens komplexa karaktär involverade en kedja av infektioner. Inledningsvis kommunicerade eScan-applikationer med uppdateringssystemet, vilket gav en möjlighet för hotaktörer att fånga upp och ersätta uppdateringspaketen. Den exakta metoden för avlyssning är fortfarande oklart, även om forskare spekulerar i att komprometterade nätverk kan ha underlättat den skadliga omdirigeringen av trafik. För att undvika upptäckt använde den skadliga programvaran DLL-kapning och använde servrar för anpassade domännamnssystem (DNS) för att ansluta till angriparkontrollerade kanaler. Senare iterationer av attacken använde IP-adressmaskering för att fördunkla kommando-och-kontroll-infrastrukturen (C&C) .

Dessutom gömde vissa varianter av skadlig programvara sin skadliga kod i bildfiler, vilket gör upptäckten mer utmanande. Dessutom installerade angriparna ett anpassat rot-TLS-certifikat för att uppfylla kraven för digital signering av vissa system, vilket säkerställde en framgångsrik installation av skadlig programvara. Överraskande nog, vid sidan av bakdörren, inkluderade nyttolasten XMRig , en programvara för gruvdrift för kryptovalutor med öppen källkod, som väckte frågor om angriparnas motiv.

GuptiMiner-operationen avslöjade betydande säkerhetsbrister i eScans praxis, inklusive avsaknaden av HTTPS för uppdateringsleverans och frånvaron av digital signering för att verifiera uppdateringsintegriteten. Trots dessa brister svarade eScan inte på förfrågningar om deras uppdateringsprocessdesign.

Användare av eScan Antivirus rekommenderas att läsa Avasts inlägg för information om potentiella infektioner, även om det är troligt att de flesta välrenommerade antivirusprogram skulle upptäcka detta hot. Denna incident understryker vikten av robusta säkerhetsåtgärder för att skydda mot sofistikerade cyberattacker.