eScan Antivirus-updatemechanisme uitgebuit om achterdeurtjes en mijnwerkers te verspreiden

Een nieuwe malwarecampagne maakt gebruik van het updatemechanisme van de eScan-antivirussoftware om backdoors en cryptocurrency-miners zoals XMRig te verspreiden via een al lang bestaande dreiging met de codenaam GuptiMiner die zich richt op grote bedrijfsnetwerken.

Cyberbeveiligingsbedrijf Avast zei dat de activiteit het werk is van een bedreigingsacteur met mogelijke connecties met een Noord-Koreaanse hackgroep genaamd Kimsuky, ook bekend als Black Banshee, Emerald Sleet en TA427.

“GuptiMiner is een zeer geavanceerde bedreiging die gebruik maakt van een interessante infectieketen, samen met een aantal technieken, waaronder het uitvoeren van DNS-verzoeken aan de DNS-servers van de aanvaller, het uitvoeren van sideloading, het extraheren van payloads uit onschuldig ogende afbeeldingen en het ondertekenen van de payloads met een aangepast vertrouwd rootanker certificeringsinstantie, onder andere”, aldus Avast.

De ingewikkelde en uitgebreide infectieketen maakt in de kern gebruik van een veiligheidstekortkoming in het updatemechanisme van de Indiase antivirusleverancier eScan om de malware te verspreiden door middel van een Adversary-in-the-Middle-aanval (AitM).

Cyberbeveiliging

Concreet houdt het in dat de updates worden gekaapt door het pakketbestand te vervangen door een kwaadaardige versie, waarbij gebruik wordt gemaakt van het feit dat de downloads niet zijn ondertekend en beveiligd met HTTPS. Het probleem, dat minstens vijf jaar onopgemerkt bleef, is per 31 juli 2023 verholpen.

De frauduleuze DLL (“updll62.dlz”) die door de eScan-software wordt uitgevoerd, laadt een DLL (“version.dll”) opzij om een ​​uit meerdere fasen bestaande reeks te activeren, beginnend met een PNG-bestandslader die op zijn beurt kwaadaardige DNS-servers gebruikt om neem contact op met een command-and-control (C2)-server en haal een PNG-bestand op met toegevoegde shellcode.

“GuptiMiner host zijn eigen DNS-servers voor het aanbieden van echte bestemmingsdomeinadressen van C&C-servers via DNS TXT-reacties”, aldus onderzoekers Jan Rubín en Milánek.

“Omdat de malware rechtstreeks verbinding maakt met de kwaadaardige DNS-servers, is het DNS-protocol volledig gescheiden van het DNS-netwerk. Geen enkele legitieme DNS-server zal dus ooit het verkeer van deze malware zien.”

Het PNG-bestand wordt vervolgens geparseerd om de shellcode te extraheren, die vervolgens verantwoordelijk is voor het uitvoeren van een Gzip-lader die is ontworpen om een ​​andere shellcode te decomprimeren met behulp van Gzip en deze in een aparte thread uit te voeren.

De derde fase malware, genaamd Puppeteer, trekt aan alle touwtjes en zet uiteindelijk de XMRig cryptocurrency miner en achterdeurtjes in op de geïnfecteerde systemen.

eScan-antivirus

Avast zei dat het twee verschillende soorten achterdeuren tegenkwam die zijn uitgerust met functies om zijdelingse bewegingen mogelijk te maken, opdrachten van de dreigingsactor te accepteren en indien nodig aanvullende componenten te leveren.

“De eerste is een verbeterde versie van PuTTY Link, die SMB-scans van het lokale netwerk mogelijk maakt en zijdelingse verplaatsing over het netwerk mogelijk maakt naar potentieel kwetsbare Windows 7- en Windows Server 2008-systemen op het netwerk”, leggen de onderzoekers uit.

“De tweede achterdeur is multi-modulair, accepteert opdrachten van de aanvaller om meer modules te installeren en richt zich op het scannen van opgeslagen privésleutels en crypto-wallets op het lokale systeem.”

De inzet van XMRig wordt beschreven als “onverwacht” voor wat anders een complexe en zorgvuldig uitgevoerde operatie is, waardoor de mogelijkheid ontstaat dat de mijnwerker als afleiding fungeert om te voorkomen dat slachtoffers de ware omvang van het compromis ontdekken.

GuptiMiner, waarvan bekend is dat het al sinds 2018 actief is, maakt ook gebruik van verschillende technieken zoals anti-VM- en anti-debug-trucs, codevirtualisatie, het laten vallen van de PNG-lader tijdens het afsluiten van het systeem, het opslaan van payloads in het Windows-register en het toevoegen van een rootcertificaat naar het certificaatarchief van Windows om de PNG-lader-DLL's betrouwbaar te laten lijken.

Cyberbeveiliging

De links naar Kimusky zijn afkomstig van een informatiedief die, hoewel niet verspreid door GuptiMiner of via de infectiestroom, “in de hele GuptiMiner-campagne” is gebruikt en overlapt met een keylogger die eerder werd geïdentificeerd als gebruikt door de groep.

Het is momenteel niet duidelijk wie de doelwitten van de campagne zijn, maar GuptiMiner-artefacten zijn al in april 2018 vanuit India en Duitsland naar VirusTotal geüpload, waarbij telemetriegegevens van Avast nieuwe infecties aan het licht brengen die waarschijnlijk afkomstig zijn van verouderde eScan-clients.

De bevindingen komen op het moment dat de Koreaanse Nationale Politie (KNPA) Noord-Koreaanse hackploegen zoals Lazarus, Andariel en Kimsuky opriep omdat ze zich op de defensiesector in het land hadden gericht en waardevolle gegevens van sommigen van hen hadden geëxfiltreerd.

In een rapport van de Korea Economic Daily staat dat de dreigingsactoren tussen oktober 2022 en juli 2023 de netwerken van 83 Zuid-Koreaanse defensiecontractanten zijn binnengedrongen en vertrouwelijke informatie van ongeveer tien van hen hebben gestolen.

Thijs Van der Does