Hackers καταχρώνται antivirus updates για διανομή του GuptiMiner malware
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Hackers καταχρώνται antivirus updates για διανομή του GuptiMiner malware
https://www.secnews.gr/535739/hackers-kataxrontai-antivirus-updates-gia-dianomi-guptiminer-malware/
Apr 24th 2024, 11:13
Βορειοκορεάτες hackers εκμεταλλεύονται τον μηχανισμό ενημέρωσης του antivirus eScan και προσπαθούν να δημιουργήσουν backdoors σε μεγάλα εταιρικά δίκτυα και να παραδώσουν cryptocurrency miners μέσω του GuptiMiner malware.
Οι ερευνητές της Avast περιγράφουν το GuptiMiner ως "μια εξαιρετικά εξελιγμένη απειλή" αφού μπορεί να κάνει πολλά πράγματα, όπως να εκτελεί DNS requests στους DNS servers του εισβολέα, να εξάγει payloads από εικόνες, να υπογράφει τα payloads του και να εκτελεί DLL sideloading.
Ενημερώσεις του eScan παραδίδουν το GuptiMiner malware
Σύμφωνα με την Avast, οι hackers πίσω από το GuptiMiner πραγματοποιούν μια adversary-in-the-middle (AitM) επίθεση για να παραβιάσουν το κανονικό virus definition update package και να το αντικαταστήσουν με ένα κακόβουλο που ονομάζεται «updll62.dlz».
Το κακόβουλο αρχείο περιλαμβάνει τις απαραίτητες ενημερώσεις προστασίας από ιούς αλλά και το GuptiMiner malware, ως αρχείο DLL με το όνομα «version.dll».
Δείτε επίσης: 2023: Πάνω από 10 εκατ. συσκευές μολύνθηκαν με info-stealer malware
Το πρόγραμμα ενημέρωσης του eScan επεξεργάζεται το πακέτο κανονικά και τελικά το εκτελεί. Κατά τη διάρκεια αυτού του σταδίου, το DLL φορτώνεται (sideload) από τα νόμιμα binaries του eScan, δίνοντας στο κακόβουλο λογισμικό δικαιώματα σε επίπεδο συστήματος. Έπειτα, το DLL ανακτά και άλλα κακόβουλα payloads από την υποδομή των hackers, καθιερώνει persistence στον κεντρικό υπολογιστή, κάνει DNS manipulation, εισάγει shellcode σε νόμιμες διαδικασίες, χρησιμοποιεί code virtualization, αποθηκεύει payloads στο μητρώο των Windows και εξάγει PE από PNGs.
Επιπλέον, το GuptiMiner malware ελέγχει εάν το σύστημα, στο οποίο τρέχει, έχει περισσότερους από 4 πυρήνες CPU και 4 GB RAM για να αποφύγει περιβάλλοντα sandbox. Επίσης, ελέγχει εάν τρέχουν τα Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor και OllyDbg.
Τέλος, το malware έχει τη δυνατότητα να απενεργοποιεί προϊόντα AhnLab και Cisco Talos.
Οι ερευνητές της Avast πιστεύουν ότι το GuptiMiner malware μπορεί να συνδέεται με τους Βορειοκορεάτες hackers Kimsuki, καθώς εντόπισαν κάποιες ομοιότητες στον τρόπο λειτουργίας των εκστρατειών. Ένα κοινό στοιχείο είναι η χρήση του domain mygamesonline[.]org, που έχει παρατηρηθεί και στις επιχειρήσεις των hackers Kimsuky.
Το GuptiMiner malware αναπτύσσει άλλα malware στα παραβιασμένα συστήματα
Μέσω του GuptiMiner, οι hackers αναπτύσσουν και άλλα malware στα παραβιασμένα συστήματα, συμπεριλαμβανομένων δύο backdoors και του γνωστού XMRig Monero miner.
Δείτε επίσης: Σχόλια του GitHub καταχρώνται για την προώθηση malware
Το πρώτο backdoor σαρώνει τα τοπικά δίκτυα για την ανίχνευση ευάλωτων συστημάτων για lateral movement. Το δεύτερο είναι ένα σύνθετο modular malware που σαρώνει τον κεντρικό υπολογιστή για αποθηκευμένα ιδιωτικά κλειδιά και πορτοφόλια κρυπτονομισμάτων. Μπορεί να δέχεται εντολές για την εγκατάσταση πρόσθετων modules στο μητρώο, ενισχύοντας περαιτέρω τις δυνατότητές του σε μολυσμένα περιβάλλοντα. Ωστόσο, η Avast δεν έδωσε πρόσθετες λεπτομέρειες.
Όσον αφορά στο XMRig miner, η χρήση του θα μπορούσε να είναι μια προσπάθεια εκτροπής της προσοχής από την κύρια γραμμή επίθεσης.
Οι ερευνητές της Avast αποκάλυψαν την ευπάθεια του eScan που χρησιμοποίησαν οι hackers και ο πάροχος επιβεβαίωσε ότι το πρόβλημα επιλύθηκε.
Ωστόσο, η Avast αναφέρει ότι συνεχίζει να παρατηρεί νέες μολύνσεις από το GuptiMiner malware, που σημαίνει ότι κάποιοι χρήστες δεν έχουν ενημερώσει το eScan.
Βορειοκορεάτες hackers καταχρώνται antivirus updates για διανομή του GuptiMiner malware
Γενικά tips προστασίας από malware
Το πρώτο και πιο σημαντικό βήμα για την προστασία από malware είναι η εγκατάσταση ενός αξιόπιστου λογισμικού antivirus. Αυτό το λογισμικό θα πρέπει να είναι σε θέση να ανιχνεύσει, να απομονώσει και να αφαιρέσει το malware πριν αυτό προκαλέσει ζημιά στον υπολογιστή σας.
Δείτε επίσης: Καμπάνια malware, παγιδεύει και εκβιάζει εκμεταλλευτές παιδιών
Ωστόσο, όπως είδαμε, οι επιτιθέμενοι εκμεταλλεύονται μέχρι και τα antivirus (π.χ. GuptiMiner malware). Επομένως, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές, συμπεριλαμβανομένου του antivirus, ενημερωμένα. Οι ενημερώσεις αυτές περιλαμβάνουν διορθώσεις ασφαλείας που διορθώνουν ευπάθειες.
Αποφύγετε την επίσκεψη ύποπτων ιστοσελίδων ή τη λήψη αρχείων από αναξιόπιστες πηγές. Αυτές οι δραστηριότητες μπορούν να εκθέσουν τον υπολογιστή σας σε κίνδυνο μόλυνσης από malware.
Τέλος, είναι σημαντικό να μην ανοίγετε ανεπιθύμητα ή ύποπτα emails. Τα emails αυτά μπορεί να περιέχουν malware ή να σας κατευθύνουν σε ιστοσελίδες που φιλοξενούν malware.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Hackers καταχρώνται antivirus updates για διανομή του GuptiMiner malware
https://www.secnews.gr/535739/hackers-kataxrontai-antivirus-updates-gia-dianomi-guptiminer-malware/
Apr 24th 2024, 11:13
Βορειοκορεάτες hackers εκμεταλλεύονται τον μηχανισμό ενημέρωσης του antivirus eScan και προσπαθούν να δημιουργήσουν backdoors σε μεγάλα εταιρικά δίκτυα και να παραδώσουν cryptocurrency miners μέσω του GuptiMiner malware.
Οι ερευνητές της Avast περιγράφουν το GuptiMiner ως "μια εξαιρετικά εξελιγμένη απειλή" αφού μπορεί να κάνει πολλά πράγματα, όπως να εκτελεί DNS requests στους DNS servers του εισβολέα, να εξάγει payloads από εικόνες, να υπογράφει τα payloads του και να εκτελεί DLL sideloading.
Ενημερώσεις του eScan παραδίδουν το GuptiMiner malware
Σύμφωνα με την Avast, οι hackers πίσω από το GuptiMiner πραγματοποιούν μια adversary-in-the-middle (AitM) επίθεση για να παραβιάσουν το κανονικό virus definition update package και να το αντικαταστήσουν με ένα κακόβουλο που ονομάζεται «updll62.dlz».
Το κακόβουλο αρχείο περιλαμβάνει τις απαραίτητες ενημερώσεις προστασίας από ιούς αλλά και το GuptiMiner malware, ως αρχείο DLL με το όνομα «version.dll».
Δείτε επίσης: 2023: Πάνω από 10 εκατ. συσκευές μολύνθηκαν με info-stealer malware
Το πρόγραμμα ενημέρωσης του eScan επεξεργάζεται το πακέτο κανονικά και τελικά το εκτελεί. Κατά τη διάρκεια αυτού του σταδίου, το DLL φορτώνεται (sideload) από τα νόμιμα binaries του eScan, δίνοντας στο κακόβουλο λογισμικό δικαιώματα σε επίπεδο συστήματος. Έπειτα, το DLL ανακτά και άλλα κακόβουλα payloads από την υποδομή των hackers, καθιερώνει persistence στον κεντρικό υπολογιστή, κάνει DNS manipulation, εισάγει shellcode σε νόμιμες διαδικασίες, χρησιμοποιεί code virtualization, αποθηκεύει payloads στο μητρώο των Windows και εξάγει PE από PNGs.
Επιπλέον, το GuptiMiner malware ελέγχει εάν το σύστημα, στο οποίο τρέχει, έχει περισσότερους από 4 πυρήνες CPU και 4 GB RAM για να αποφύγει περιβάλλοντα sandbox. Επίσης, ελέγχει εάν τρέχουν τα Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor και OllyDbg.
Τέλος, το malware έχει τη δυνατότητα να απενεργοποιεί προϊόντα AhnLab και Cisco Talos.
Οι ερευνητές της Avast πιστεύουν ότι το GuptiMiner malware μπορεί να συνδέεται με τους Βορειοκορεάτες hackers Kimsuki, καθώς εντόπισαν κάποιες ομοιότητες στον τρόπο λειτουργίας των εκστρατειών. Ένα κοινό στοιχείο είναι η χρήση του domain mygamesonline[.]org, που έχει παρατηρηθεί και στις επιχειρήσεις των hackers Kimsuky.
Το GuptiMiner malware αναπτύσσει άλλα malware στα παραβιασμένα συστήματα
Μέσω του GuptiMiner, οι hackers αναπτύσσουν και άλλα malware στα παραβιασμένα συστήματα, συμπεριλαμβανομένων δύο backdoors και του γνωστού XMRig Monero miner.
Δείτε επίσης: Σχόλια του GitHub καταχρώνται για την προώθηση malware
Το πρώτο backdoor σαρώνει τα τοπικά δίκτυα για την ανίχνευση ευάλωτων συστημάτων για lateral movement. Το δεύτερο είναι ένα σύνθετο modular malware που σαρώνει τον κεντρικό υπολογιστή για αποθηκευμένα ιδιωτικά κλειδιά και πορτοφόλια κρυπτονομισμάτων. Μπορεί να δέχεται εντολές για την εγκατάσταση πρόσθετων modules στο μητρώο, ενισχύοντας περαιτέρω τις δυνατότητές του σε μολυσμένα περιβάλλοντα. Ωστόσο, η Avast δεν έδωσε πρόσθετες λεπτομέρειες.
Όσον αφορά στο XMRig miner, η χρήση του θα μπορούσε να είναι μια προσπάθεια εκτροπής της προσοχής από την κύρια γραμμή επίθεσης.
Οι ερευνητές της Avast αποκάλυψαν την ευπάθεια του eScan που χρησιμοποίησαν οι hackers και ο πάροχος επιβεβαίωσε ότι το πρόβλημα επιλύθηκε.
Ωστόσο, η Avast αναφέρει ότι συνεχίζει να παρατηρεί νέες μολύνσεις από το GuptiMiner malware, που σημαίνει ότι κάποιοι χρήστες δεν έχουν ενημερώσει το eScan.
Βορειοκορεάτες hackers καταχρώνται antivirus updates για διανομή του GuptiMiner malware
Γενικά tips προστασίας από malware
Το πρώτο και πιο σημαντικό βήμα για την προστασία από malware είναι η εγκατάσταση ενός αξιόπιστου λογισμικού antivirus. Αυτό το λογισμικό θα πρέπει να είναι σε θέση να ανιχνεύσει, να απομονώσει και να αφαιρέσει το malware πριν αυτό προκαλέσει ζημιά στον υπολογιστή σας.
Δείτε επίσης: Καμπάνια malware, παγιδεύει και εκβιάζει εκμεταλλευτές παιδιών
Ωστόσο, όπως είδαμε, οι επιτιθέμενοι εκμεταλλεύονται μέχρι και τα antivirus (π.χ. GuptiMiner malware). Επομένως, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές, συμπεριλαμβανομένου του antivirus, ενημερωμένα. Οι ενημερώσεις αυτές περιλαμβάνουν διορθώσεις ασφαλείας που διορθώνουν ευπάθειες.
Αποφύγετε την επίσκεψη ύποπτων ιστοσελίδων ή τη λήψη αρχείων από αναξιόπιστες πηγές. Αυτές οι δραστηριότητες μπορούν να εκθέσουν τον υπολογιστή σας σε κίνδυνο μόλυνσης από malware.
Τέλος, είναι σημαντικό να μην ανοίγετε ανεπιθύμητα ή ύποπτα emails. Τα emails αυτά μπορεί να περιέχουν malware ή να σας κατευθύνουν σε ιστοσελίδες που φιλοξενούν malware.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια