Антивірусна служба eScan, яка доставляє оновлення через HTTP, була атакована та заражена хакерами

Хакери використовували вразливість в антивірусній службі, щоб поширювати зловмисне програмне забезпечення серед нічого не підозрюючих користувачів протягом приголомшливих п’яти років. Атака була спрямована на eScan Antivirus, компанію в Індії, яка доставляла оновлення через HTTP, протокол, відомий своєю сприйнятливістю до кібератак, які маніпулюють або компрометують дані під час передачі. Дослідники безпеки з Avast виявили, що зловмисники, ймовірно пов’язані з урядом Північної Кореї, здійснили складну атаку типу «людина посередині» (MitM). Ця тактика передбачала перехоплення законних оновлень із серверів eScan і заміну їх шкідливими файлами, зрештою встановлюючи бекдор, відомий як GuptiMiner.

Комплексний характер нападу включав ланцюг інфекцій. Спочатку програми eScan спілкувалися із системою оновлення, надаючи можливість загрозам перехоплювати та замінювати пакети оновлень. Точний метод перехоплення залишається неясним, хоча дослідники припускають, що скомпрометовані мережі могли сприяти зловмисному перенаправленню трафіку. Щоб уникнути виявлення, зловмисне програмне забезпечення використовувало викрадення DLL і використовувало користувацькі сервери системи доменних імен (DNS) для підключення до каналів, контрольованих зловмисниками. Пізніші ітерації атаки використовували маскування IP-адреси для обфускації інфраструктури командування та управління (C&C) .

Крім того, деякі варіанти зловмисного програмного забезпечення ховали свій шкідливий код у файлах зображень, що ускладнювало виявлення. Крім того, зловмисники встановили спеціальний кореневий сертифікат TLS, щоб відповідати вимогам цифрового підпису певних систем, забезпечуючи успішне встановлення зловмисного програмного забезпечення. Дивно, але поряд із бекдором корисне навантаження включало XMRig , програмне забезпечення для майнінгу криптовалюти з відкритим кодом, що викликало сумніви щодо мотивів зловмисників.

Операція GuptiMiner виявила значні недоліки безпеки в практиці eScan, включаючи відсутність HTTPS для доставки оновлень і відсутність цифрового підпису для перевірки цілісності оновлень. Незважаючи на ці недоліки, eScan не відповіла на запити щодо дизайну процесу оновлення.

Користувачам eScan Antivirus радимо переглянути повідомлення Avast, щоб отримати інформацію про потенційні зараження, хоча ймовірно, що більшість авторитетних антивірусних програм виявлять цю загрозу. Цей інцидент підкреслює важливість надійних заходів безпеки для захисту від складних кібератак.