Nova kampanja zlonamjernog softvera iskorištava mehanizam ažuriranja antivirusnog softvera eScan za distribuciju backdoor-a i rudara kriptovaluta poput XMRig-a kroz dugogodišnju prijetnju kodnog imena GuptiMiner koja cilja velike korporativne mreže.
Firma za cyber sigurnost Avast rekla je da je ta aktivnost djelo prijetnje s mogućim vezama sa sjevernokorejskom hakerskom grupom pod nazivom Kimsuky , koja je takođe poznata kao Black Banshee, Emerald Sleet i TA427.
“GuptiMiner prijetnja je vrlo sofisticirana prijetnja koja koristi zanimljiv lanac infekcije zajedno s nekoliko tehnika koje uključuju izvršavanje DNS zahtjeva do DNS servera napadača, izvođenje bočnog učitavanja, izdvajanje korisnih podataka iz slika nevinog izgleda, potpisivanje njegovih korisnih podataka pomoću prilagođenog pouzdanog root sidra sertifikacijsko tijelo, između ostalog”, rekao je Avast .
Zamršeni i razrađeni lanac infekcije, u svojoj srži, koristi sigurnosni nedostatak u mehanizmu ažuriranja indijskog dobavljača antivirusnih programa eScan za propagiranje zlonamjernog softvera putem napada protivnik u sredini (AitM).
Konkretno, to podrazumijeva otmicu ažuriranja zamjenom datoteke paketa zlonamjernom verzijom koristeći prednost činjenice da preuzimanja nisu potpisana i osigurana pomoću HTTPS-a. Problem, koji je bio nezapažen najmanje pet godina, otklonjen je 31. jula 2023.
Lažni DLL (“updll62.dlz”) koji izvršava eScan softver bočno učitava DLL (“version.dll”) kako bi aktivirao višestepeni niz počevši od PNG učitavača datoteka koji zauzvrat koristi zlonamjerne DNS servere za kontaktirajte komandno-kontrolni (C2) server i dohvatite PNG datoteku s dodatkom shellcode-a.
„GuptiMiner ugošćuje sopstvene DNS servere za opsluživanje pravih odredišnih adresa domena C&C servera putem DNS TXT odgovora“, rekli su istraživači Jan Rubin i Milanek.
“Kako se malver direktno povezuje sa zlonamjernim DNS serverima, DNS protokol je potpuno odvojen od DNS mreže. Dakle, nijedan legitimni DNS server nikada neće vidjeti saobraćaj od ovog malvera.”
PNG datoteka se zatim analizira kako bi se izdvojio shellcode, koji je zatim odgovoran za izvršavanje Gzip loadera koji je dizajniran da dekomprimira drugi shellcode koristeći Gzip i izvrši ga u zasebnoj niti.
Zlonamjerni softver treće faze, nazvan Puppeteer, vuče sve konce, na kraju postavlja XMRig rudar kriptovalute i backdoor na zaraženim sistemima.
Avast je rekao da je naišao na dva različita tipa backdoor-a koji su opremljeni funkcijama koje omogućavaju bočno kretanje, prihvataju komande od aktera pretnje i isporučuju dodatne komponente po potrebi.
„Prva backdoor je poboljšana verzija PuTTY Linka, koja omogućava SMB skeniranje lokalne mreže i omogućava bočno kretanje preko mreže do potencijalno ranjivih Windows 7 i Windows Server 2008 sistema na mreži“, objasnili su istraživači.
“Drugi backdoor je multimodularan, prihvata komande od napadača za instaliranje više modula, kao i fokusiranje na skeniranje pohranjenih privatnih ključeva i kripto novčanika na lokalnom sistemu.”
Postavljanje XMRig-a je opisano kao “neočekivano” za, inače, složenu i pedantno izvedenu operaciju, što povećava mogućnost da rudar djeluje kao distrakcija kako bi spriječio žrtve da otkriju pravi obim kompromisa.
GuptiMiner, za koji se zna da je aktivan najmanje od 2018. godine, također koristi različite tehnike poput anti-VM i anti-debug trikova, virtuelizacije koda, ispuštanja PNG učitavača tokom događaja isključivanja sistema, pohranjivanja korisnih podataka u Windows Registry i dodavanja root certifikata u Windows spremište certifikata kako bi DLL-ovi za učitavanje PNG izgledali pouzdani.
Veze za Kimusky dolaze od kradljivaca informacija koji, iako nije distribuiran od strane GuptiMinera ili putem protoka infekcije, korišten je “u cijeloj GuptiMiner kampanji” i dijeli se preklapanja s keyloggerom koji je prethodno identificiran kao korišten od strane grupe.
Trenutno nije jasno ko su mete kampanje, ali GuptiMiner artefakti su otpremljeni na VirusTotal iz Indije i Njemačke još u aprilu 2018. godine, a Avast telemetrijski podaci ističu nove infekcije koje vjerovatno potiču od zastarjelih eScan klijenata.
Nalazi dolaze kada je Korejska nacionalna policijska agencija (KNPA) prozvala sjevernokorejske hakerske ekipe kao što su Lazarus, Andariel i Kimsuky da ciljaju na sektor odbrane u zemlji i izvlače vrijedne podatke iz nekih od njih.
U izvještaju Korea Economic Daily navodi se da su hakeri prodrli u mreže 83 južnokorejska odbrambena preduzeća i ukrali povjerljive informacije od njih 10 od oktobra 2022. do jula 2023.
Izvor:The Hacker News
