eScan 안티바이러스가 손상되고 GuptiMiner 악성코드가 업데이트를 통해 배포됨

악성코드 공격은 그 어느 때보다 흔해지고 있습니다. 최신 사건은 인도에 본사를 둔 안티바이러스 제공업체인 eScan이 위협 행위자에 의해 피해를 입어 사용자의 PC에 GuptiMiner 악성코드가 사이드로딩 된 사례입니다.

위협 행위자들은 eScan의 업데이트 프로세스가 업데이트를 전달하기 위해 최신 보안 프로토콜인 HTTPS 대신 HTTP에 의존하고 있다는 점을 악용하여 악성코드를 사이드로딩했습니다.

Avast의 연구자들이 이 취약점을 처음으로 식별하고 eScan과 공유했습니다. 이후 eScan은 업데이트 프로세스의 허점을 인정하고 2023년 7월 31일에 패치를 적용했습니다.

Avast는 GuptiMiner 악성코드를 다음과 같이 설명합니다.

GuptiMiner는 공격자의 DNS 서버로 DNS 요청을 수행하고, 사이드로딩을 하고, 무해하게 보이는 이미지에서 페이로드를 추출하며, 고유하게 신뢰받는 루트 앵커 인증 기관으로 자신의 페이로드에 서명하는 등 여러 기술을 포함한 흥미로운 감염 체인을 사용하는 매우 정교한 위협입니다. GuptiMiner의 주요 목표는 대기업 네트워크에 백도어를 배포하는 것입니다.

보고서는 또한 GuptiMiner 악성코드를 북한의 국가 지원 해커 그룹인 Kimsuky와 연결짓습니다.

eScan의 업데이트를 통한 GuptiMiner 공격 분석

위협 행위자들은 Man-in-the-Middle (MitM) 공격을 사용하여 악성코드를 의심하지 않는 사용자에게 배포했습니다. 이 과정은 안티바이러스가 서버로부터 업데이트 패키지를 요청하면서 시작되며, 위협 행위자들이 이를 가로채어 악성 패키지로 교체합니다.

악성 패키지에는 관련 업데이트가 포함되어 있지만, 감염된 version.dll 파일도 다운로드합니다. 이 파일은 안티바이러스와 동일한 권한을 가집니다. 이후 재부팅 시, DLL은 위협 행위자의 서버에서 추가 파일을 다운로드하며, 이 시점에서 PC는 완전히 손상됩니다.
이미지 출처: Avast
Avast는 GuptiMiner 악성코드가 활성 Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor 프로세스를 확인하고, Cisco Talos Intelligence 및 AhnLab의 모든 인스턴스를 종료한다고 보고합니다.

공격의 진짜 동기는 여전히 알려져 있지 않지만, XMRig라는 암호화폐 채굴 패키지를 사이드로딩했습니다. 그 외에도 공격은 두 개의 백도어를 배포하여 취약한 시스템을 스캔하고, PC에서 암호화폐 지갑과 저장된 개인 키를 스캔하도록 설계되었습니다.

BleepingComputer가 eScan에 코멘트를 요청했을 때, eScan은 2019년에 유사한 보고서를 받고 2020년에 이를 해결했음을 확인했습니다. 또한, 이 프로토콜의 암호화 기능을 활용하기 위해 HTTPS를 통해 다운로드를 지원하기 시작했습니다.

eScan 안티바이러스 사용자라면, 즉시 개발자에게 연락하여 보다 안전한 경험을 위해 어떤 변경 사항이 적용될 수 있는지 문의하는 것을 권장합니다.

전체 eScan GuptiMiner 사건은 안티바이러스조차도 공격에 취약할 수 있음을 강조합니다. 그리고 절대적인 보호는 없지만, 효과적인 안티바이러스 솔루션을 사용하면 이러한 공격의 가능성을 줄일 수 있습니다.

eScan의 업데이트를 통해 GuptiMiner를 배포하는 위협 행위자에 대한 귀하의 의견은 무엇입니까? 댓글 섹션에 독자들과 공유해 주십시오.