eScanアンチウイルスが侵害され、GuptiMinerマルウェアが更新を通じて展開されました

マルウェア攻撃は以前にも増して一般的になっています。シリーズの最新情報は、インドに本社を置くアンチウイルスベンダーeScanが、脅威アクターによってエンドユーザーのPCにGuptiMinerマルウェアをサイドロードされるというものです。

脅威アクターは、eScanの更新プロセスを利用しました。このプロセスは、最新かつ安全なHTTPSプロトコルの代わりにHTTPに依存していたため、マルウェアをサイドロードしました。

Avastの研究者が最初に脆弱性を特定し、eScanと共有しました。後者は更新プロセスの抜け穴を認め、2023年7月31日に修正しました。

Avastは、GuptiMinerマルウェアについて次のように説明しています。

GuptiMinerは、攻撃者のDNSサーバーへのDNSリクエストの実行、サイドロード、不審に見える画像からペイロードの抽出、カスタムの信頼されたルートアンカー認証機関でペイロードに署名するなどのいくつかの技術を用いる興味深い感染チェーンを持つ非常に洗練された脅威です。GuptiMinerの主な目的は、大企業ネットワーク内にバックドアを配布することです。

報告書はまた、GuptiMinerマルウェアが北朝鮮の国家支援のハッカーグループKimsukyに関連していることを示しています。

eScanの更新を通じてGuptiMiner攻撃の内訳

脅威アクターはMan-in-the-Middle (MitM)攻撃を使用して、無防備なユーザーにマルウェアを配布しました。これは、アンチウイルスがサーバーから更新パッケージを要求することで始まり、脅威アクターがそれを傍受して悪意のあるものと置き換えます。

悪意のあるパッケージには関連する更新が含まれていますが、インフェクテッドversion.dllファイルもダウンロードされます。このファイルは、アンチウイルスと同じ権限を持っています。次回の再起動時に、DLLは脅威アクターのサーバーから追加のファイルをダウンロードし、その時点でPCは完全に侵害されます。 画像出典: Avast
Avastは、GuptiMinerマルウェアがWireshark、WinDbg、TCPView、360 Total Security、Huorong Internet Security、Process Explorer、およびProcess Monitorプロセスをチェックし、Cisco Talos IntelligenceとAhnLabのインスタンスを終了することも報告しています。

攻撃の真の動機は不明ですが、XMRigという暗号通貨採掘用のパッケージがサイドロードされました。それ以外にも、この攻撃は2つのバックドアを展開し、一つは脆弱なシステムをスキャンし、もう一つはPC内の暗号通貨ウォレットと保存されたプライベートキーをスキャンするものです。

BleepingComputerがeScanにコメントを求めたところ、後者は2019年に類似の報告を受け取り、2020年に解決したことを確認しました。さらに、プロトコルの暗号化機能を利用するために、HTTPSを介してダウンロードを開始しました。

もしあなたがeScanアンチウイルスのユーザーであれば、すぐに開発者に連絡し、安全な体験のためにどのような変更が実施できるかを確認することをお勧めします。

このeScan GuptiMiner事件全体は、アンチウイルスでさえも攻撃を受けやすいことを強調しています。そして絶対的な保護はないものの、効果的なアンチウイルスソリューションを利用することで、そのような攻撃の可能性を低下させることができます。

脅威アクターがeScanの更新を介してGuptiMinerを展開することについて、あなたはどう思いますか？コメントセクションで読者と共有してください。