Multi-License Discount Quote
Computer Security Dịch vụ chống virus eScan cung cấp các bản cập nhật qua...

Dịch vụ chống virus eScan cung cấp các bản cập nhật qua HTTP đã bị tin tặc tấn công và lây nhiễm

Đến năm Mura năm Computer Security
Dịch sang:
Tiếng Việt Nam

Tin tặc đã khai thác lỗ hổng trong dịch vụ chống vi-rút để phát tán phần mềm độc hại đến những người dùng không nghi ngờ trong suốt 5 năm đáng kinh ngạc. Cuộc tấn công nhắm vào eScan Antivirus, một công ty có trụ sở tại Ấn Độ, chuyên cung cấp các bản cập nhật qua HTTP, một giao thức nổi tiếng vì dễ bị tấn công mạng nhằm thao túng hoặc xâm phạm dữ liệu trong quá trình truyền. Các nhà nghiên cứu bảo mật từ Avast tiết lộ rằng thủ phạm, có thể có liên quan đến chính phủ Triều Tiên, đã thực hiện một cuộc tấn công trung gian (MitM) tinh vi. Chiến thuật này liên quan đến việc chặn các bản cập nhật hợp pháp từ máy chủ của eScan và thay thế chúng bằng các tệp độc hại, cuối cùng cài đặt một cửa sau có tên GuptiMiner.

Bản chất phức tạp của cuộc tấn công liên quan đến một chuỗi lây nhiễm. Ban đầu, các ứng dụng eScan liên lạc với hệ thống cập nhật, tạo cơ hội cho các tác nhân đe dọa chặn và thay thế các gói cập nhật. Phương pháp chặn chính xác vẫn chưa rõ ràng, mặc dù các nhà nghiên cứu suy đoán rằng các mạng bị xâm nhập có thể đã tạo điều kiện thuận lợi cho việc chuyển hướng lưu lượng truy cập một cách có ác ý. Để tránh bị phát hiện, phần mềm độc hại đã sử dụng tính năng chiếm quyền điều khiển DLL và sử dụng các máy chủ hệ thống tên miền (DNS) tùy chỉnh để kết nối với các kênh do kẻ tấn công kiểm soát. Các lần lặp lại sau đó của cuộc tấn công đã sử dụng tính năng che giấu địa chỉ IP để làm xáo trộn cơ sở hạ tầng chỉ huy và kiểm soát (C&C) .

Ngoài ra, một số biến thể của phần mềm độc hại đã ẩn mã độc hại của chúng trong các tệp hình ảnh, khiến việc phát hiện trở nên khó khăn hơn. Hơn nữa, những kẻ tấn công đã cài đặt chứng chỉ TLS gốc tùy chỉnh để đáp ứng yêu cầu ký kỹ thuật số của một số hệ thống nhất định, đảm bảo cài đặt thành công phần mềm độc hại. Điều đáng ngạc nhiên là bên cạnh cửa sau, trọng tải còn bao gồm XMRig , một phần mềm khai thác tiền điện tử nguồn mở, đặt ra câu hỏi về động cơ của kẻ tấn công.

Hoạt động của GuptiMiner đã tiết lộ những sai sót bảo mật nghiêm trọng trong hoạt động của eScan, bao gồm việc thiếu HTTPS để phân phối bản cập nhật và không có chữ ký số để xác minh tính toàn vẹn của bản cập nhật. Bất chấp những thiếu sót này, eScan đã không trả lời các câu hỏi liên quan đến thiết kế quy trình cập nhật của họ.

Người dùng eScan Antivirus nên xem lại bài đăng của Avast để biết thông tin về các khả năng lây nhiễm tiềm ẩn, mặc dù có khả năng là hầu hết các chương trình chống vi-rút có uy tín sẽ phát hiện ra mối đe dọa này. Sự cố này nhấn mạnh tầm quan trọng của các biện pháp an ninh mạnh mẽ trong việc bảo vệ chống lại các cuộc tấn công mạng tinh vi.

Đang tải...