Backdoors und Miner inmitten von eScan Antivirus Backdoor Exploit
Kürzlich wurde eine Welle von Malware-Angriffen aufgetaucht, die Schwachstellen im Update-Mechanismus der eScan Antivirus-Software ausnutzen. Diese eScan Antivirus-Backdoor-Exploit verteilt Backdoors und Cryptocurrency Miner wie XMRig und stellt eine erhebliche Bedrohung für große Unternehmensnetzwerke dar. In diesem Blog befassen wir uns mit den Details dieses eScan Antivirus-Backdoor-Exploit und verstehen, wie er sich auf Unternehmen und deren Cybersicherheit auswirkt.
Wir werden untersuchen, wie man Malware durch Antiviren-Updates verhindern um Ihre digitalen Werte und sensiblen Informationen zu schützen.
eScan Antivirus Backdoor Exploit: Verschlungene Infektionskette
Das Cybersicherheitsunternehmen Avast hat dieses eScan Antivirus-Backdoor-Exploitidentifiziert und ihn mit einer ausgeklügelten Bedrohung namens GuptiMiner in Verbindung gebracht. Diese Bedrohung weist ein hohes Maß an Raffinesse auf und nutzt komplexe Infektionsketten und Techniken, um Systeme zu infiltrieren. GuptiMiner wird mit einer nordkoreanischen Hackergruppe namens Kimsuky in Verbindung gebracht, die auch als Black Banshee, Emerald Sleet und TA427 bekannt ist.
Im Mittelpunkt dieser Kampagne steht eine kritische Sicherheitslücke im Update-Mechanismus der eScan Antivirus-Software. Angreifer nutzen diese Schwachstelle durch einen Adversary-in-the-Middle (AitM)-Angriff aus, indem sie legitime Updates entführen und sie durch bösartige Versionen ersetzen. Besorgniserregend ist, dass die eScan Update-Mechanismus-Schwachstelle mindestens fünf Jahre lang unbemerkt blieb, bevor sie am 31. Juli 2023 behoben wurde.
Die gefälschte eScan-Updates-Malware verwendet eine komplexe Infektionskette, die mit der Ausführung einer bösartigen DLL ("updll62.dlz") innerhalb der eScan-Software beginnt. Diese DLL lädt dann eine andere DLL ("version.dll") nach, wodurch eine mehrstufige Sequenz eingeleitet wird. Die Malware nutzt Techniken wie DNS-Anfragen an vom Angreifer kontrollierte Server, Sideloading und die Extraktion von Nutzdaten aus harmlos aussehenden Bildern, was ihre Unauffälligkeit und Persistenz erhöht.
Einzigartige Merkmale von GuptiMiner
GuptiMiner zeichnet sich durch seine einzigartigen Funktionen aus, darunter das Hosten eigener DNS-Server, um echte Ziel-Domänenadressen von Command-and-Control (C&C)-Servern zu bedienen. Dadurch wird sichergestellt, dass der DNS-Verkehr der Malware von legitimen DNS-Servern unerkannt bleibt, was seine Tarnfähigkeiten verbessert.
Sobald er aktiviert ist, führt GuptiMiner eine Reihe von Nutzdaten aus und installiert schließlich den XMRig-Kryptowährungs-Miner und Backdoors auf infizierten Systemen. Der Einsatz von XMRig zusammen mit ausgefeilten Hintertüren fügt dem Vorgang eine zusätzliche Komplexitätsebene hinzu und dient möglicherweise als Ablenkung, um das wahre Ausmaß der Kompromittierung zu verbergen.
Hintertüren und seitliche Verlagerung
Avast hat zwei Arten von Backdoors identifiziert, die von GuptiMiner eingesetzt werden und beide mit Funktionen für laterale Bewegungen und Remote-Befehlsausführung ausgestattet sind. Diese Hintertüren ermöglichen es Angreifern, durch Netzwerke zu navigieren, nach anfälligen Systemen zu scannen und bei Bedarf zusätzliche Module zu installieren. Eine der Hintertüren, eine erweiterte Version von PuTTY Link, ermöglicht SMB-Scans und laterale Bewegungen zu potenziell gefährdeten Systemen innerhalb des Netzwerks.
Unvorhergesehene Einsätze und fortgeschrittene Umgehung
Der Einsatz von XMRig, einem Miner für Kryptowährungen, innerhalb der GuptiMiner-Operation hat Forscher überrascht. Diese unerwartete Hinzufügung deutet darauf hin, dass der Miner als Ablenkungsmanöver dienen könnte, um die Aufmerksamkeit von den ruchloseren Aktivitäten der Malware abzulenken. Indem sie sich auf das Mining von Kryptowährungen konzentrieren, versuchen die Angreifer möglicherweise, ihre wahren Absichten zu verschleiern und ihre Präsenz in kompromittierten Systemen zu verlängern.
GuptiMiner setzt verschiedene Umgehungstechniken ein, um eine Entdeckung und Analyse zu vermeiden. Dazu gehören Anti-VM- und Anti-Debug-Tricks, Code-Virtualisierung und das Speichern von Nutzdaten in der Windows-Registrierung. Außerdem fügt die Malware dem Windows-Zertifikatspeicher ein Root-Zertifikat hinzu, um die Vertrauenswürdigkeit der bösartigen DLLs zu erhöhen.
Risiken veralteter Antiviren-Software
Die Verbindungen zwischen GuptiMiner und nordkoreanischen Bedrohungsakteureninsbesondere Kimsuky, geben Anlass zur Sorge über die Ziele der Kampagne. Während die genauen Ziele unklar bleiben, wurden GuptiMiner-Artefakte nach Indien und Deutschland zurückverfolgt, wobei neue Infektionen wahrscheinlich von veralteten eScan-Clients stammen.
Auswirkungen auf den Verteidigungssektor
Diese Patch eScan Antivirus-Exploit Kampagne fällt zusammen mit Berichten über nordkoreanische Hacker, die es auf den Verteidigungssektor abgesehen haben, insbesondere in Südkorea. Diese Bedrohungsakteure sind in die Netzwerke von Verteidigungsunternehmen eingedrungen, haben vertrauliche Informationen exfiltriert und stellen ein erhebliches Risiko für die nationale Sicherheit dar. Hüten Sie sich also vor der Bedrohung, die von Cryptominer-Malware durch Antivirenprogrammedie die Sicherheit Ihres Systems gefährden können.
Schlussfolgerung
Das Auftauchen des eScan Antivirus-Backdoor-Exploit unterstreicht die sich entwickelnde Bedrohungslandschaft und die Bedeutung von robusten Cybersicherheitsmaßnahmen. Unternehmen müssen wachsam bleiben, ihre Sicherheitssoftware regelmäßig aktualisieren und umfassende Verteidigungsstrategien um das Risiko ausgefeilter Cyberangriffe zu mindern.
Erkunden Sie sichere Alternativen zu eScan für robuste Cybersicherheitslösungen und verbessern Sicherheit von Unternehmensnetzwerken mit eScan für umfassenden Schutz vor Cyber-Bedrohungen... Indem sie informiert bleiben und proaktiv handeln, können Unternehmen ihre Netzwerke sichern und sensible Daten vor böswilligen Akteuren schützen.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Sicherheitsangelegenheiten.