ClickCease Exploitation d'une porte dérobée par l'antivirus eScan : portes dérobées et mineurs en vue

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Exploitation d'une porte dérobée par l'antivirus eScan : portes dérobées et mineurs en vue

Wajahat Raja

10 mai 2024 - L'équipe d'experts de TuxCare

Récemment, une vague d'attaques de logiciels malveillants a fait surface, exploitant des vulnérabilités dans le mécanisme de mise à jour du logiciel antivirus eScan. Cet exploit de porte dérobée de l'antivirus exploit de porte dérobée de l'antivirus eScan distribue des portes dérobées et des mineurs de crypto-monnaie, tels que XMRig, ce qui représente une menace importante pour les grands réseaux d'entreprise. Dans ce blog, nous allons examiner les détails de cet exploit de porte dérobée de l'antivirus eScan. exploit de porte dérobée de l'antivirus eScan et comprendre son impact sur les entreprises et leur posture de cybersécurité.

Nous verrons comment prévenir les logiciels malveillants grâce aux mises à jour de l'antivirus pour protéger vos actifs numériques et vos informations sensibles.

 

Exploitation de la porte dérobée de l'antivirus eScan : Chaîne d'infection complexe


Une société de cybersécurité, Avast, a identifié ce
porte dérobée de l'antivirus eScanet l'a associé à une menace sophistiquée connue sous le nom de GuptiMiner. Cette menace fait preuve d'un haut niveau de sophistication, utilisant des chaînes d'infection et des techniques complexes pour infiltrer les systèmes. GuptiMiner a notamment été associé à un groupe de pirates nord-coréens appelé Kimsuky, également connu sous les noms de Black Banshee, Emerald Sleet et TA427.

Au cœur de cette campagne se trouve une faille de sécurité critique dans le mécanisme de mise à jour du logiciel antivirus eScan. Les attaquants exploitent cette faille par le biais d'une attaque de type "adversary-in-the-middle" (AitM), en détournant des mises à jour légitimes et en les remplaçant par des versions malveillantes. Ce qui est alarmant, c'est que la vulnérabilité du mécanisme de mise à jour d vulnérabilité du mécanisme de mise à jour d'eScan est passée inaperçue pendant au moins cinq ans avant d'être corrigée le 31 juillet 2023.

Les faux logiciel malveillant de mise à jour d'eScan utilise une chaîne d'infection complexe, qui commence par l'exécution d'une DLL malveillante ("updll62.dlz") dans le logiciel eScan. Cette DLL charge ensuite latéralement une autre DLL ("version.dll"), ce qui déclenche une séquence en plusieurs étapes. Le logiciel malveillant utilise des techniques telles que les requêtes DNS vers des serveurs contrôlés par l'attaquant, le téléchargement latéral et l'extraction de charges utiles à partir d'images d'apparence inoffensive, ce qui renforce sa capacité d'évasion et sa persistance.

 

Caractéristiques uniques de GuptiMiner


GuptiMiner se distingue par ses caractéristiques uniques, notamment l'hébergement de ses propres serveurs DNS pour servir les véritables adresses de domaine de destination des serveurs de commande et de contrôle (C&C). Ainsi, le trafic DNS du logiciel malveillant n'est pas détecté par les serveurs DNS légitimes, ce qui renforce ses capacités de furtivité.

Une fois activé, GuptiMiner exécute une série de charges utiles, déployant finalement le mineur de crypto-monnaie XMRig et des portes dérobées sur les systèmes infectés. Le déploiement de XMRig et de portes dérobées sophistiquées ajoute une couche de complexité à l'opération, servant potentiellement de distraction pour dissimuler l'étendue réelle de la compromission.

 

Portes dérobées et mouvements latéraux


Avast a identifié deux types de portes dérobées déployées par GuptiMiner, toutes deux dotées de fonctions de déplacement latéral et d'exécution de commandes à distance. Ces portes dérobées permettent aux attaquants de naviguer dans les réseaux, de rechercher des systèmes vulnérables et d'installer des modules supplémentaires si nécessaire. L'une des portes dérobées, une version améliorée de PuTTY Link, facilite l'analyse SMB et le déplacement latéral vers des systèmes potentiellement vulnérables au sein du réseau.


Déploiement imprévu et évasion avancée


Le déploiement de XMRig, un mineur de crypto-monnaie, au sein de l'opération GuptiMiner a surpris les chercheurs. Cet ajout inattendu suggère que le mineur peut servir de diversion, détournant l'attention des activités les plus néfastes du logiciel malveillant. En se concentrant sur le minage de crypto-monnaies, les attaquants peuvent chercher à dissimuler leurs véritables intentions et à prolonger leur présence dans les systèmes compromis.

GuptiMiner utilise diverses techniques d'évasion pour éviter la détection et l'analyse. Ces techniques comprennent des astuces anti-VM et anti-débogage, la virtualisation du code et le stockage des charges utiles dans le registre Windows. En outre, le logiciel malveillant ajoute un certificat racine au magasin de certificats de Windows, ce qui renforce la fiabilité de ses DLL malveillantes.

 

Risques liés aux logiciels antivirus obsolètes


Les liens entre GuptiMiner et
acteurs de la menace nord-coréenneen particulier Kimsuky, soulèvent des inquiétudes quant aux objectifs et aux cibles de la campagne. Bien que les cibles exactes restent floues, les artefacts de GuptiMiner ont été retracés jusqu'en Inde et en Allemagne, les nouvelles infections provenant probablement de clients eScan obsolètes.


Impact sur le secteur de la défense


Ce
campagne d'exploitation de l'antivirus patch eScan coïncide avec des rapports faisant état d'équipes de pirates nord-coréens ciblant le secteur de la défense, en particulier en Corée du Sud. Ces acteurs ont infiltré les réseaux d'entreprises de défense, exfiltrant des informations confidentielles et posant un risque important pour la sécurité nationale. Il faut donc se méfier de la menace que représentent les logiciels malveillants de type cryptominer par le biais d'un antivirusqui peuvent compromettre la sécurité de votre système.

 

Conclusion

L'émergence de l'exploit de porte dérobée de l'antivirus eScan antivirus backdoor exploit souligne l'évolution du paysage des menaces et l'importance de mesures de cybersécurité solides. Les entreprises doivent rester vigilantes, mettre régulièrement à jour leurs logiciels de sécurité et mettre en œuvre des stratégies de défense pour réduire le risque de cyberattaques sophistiquées.

Explorer des alternatives sécurisées à eScan pour des solutions de cybersécurité robustes et renforcer la sécurité des réseaux d'entreprise avec eScan pour une protection complète contre les cybermenaces. En restant informées et proactives, les organisations peuvent sauvegarder leurs réseaux et protéger leurs données sensibles contre les acteurs malveillants.

Les sources de cet article comprennent des articles dans The Hacker News et Security Affairs.

Résumé
Exploitation d'une porte dérobée par l'antivirus eScan : portes dérobées et mineurs en vue
Nom de l'article
Exploitation d'une porte dérobée par l'antivirus eScan : portes dérobées et mineurs en vue
Description
Restez informé de la dernière exploitation de porte dérobée d'eScan Antivirus. Découvrez comment les portes dérobées et les mineurs se propagent et protégez votre système dès maintenant.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information