Cyberbezpieczeństwo
Hakerzy z Korei Północnej zaszyli malware w aktualizacjach antywirusa
Korea Północna jest poważnym zagrożeniem w cyberprzestrzeni i udowodniła to po raz kolejny. Hakerom z tego kraju udało się przejąć kontrolę nad aktualizacjami eScan, oprogramowania antywirusowego od MicroWorld Technologies. Atak był wieloetapowy i skomplikowany.
Sprawa dotyczy kampanii GuptiMiner, za którą odpowiedzialne jest Kimsuky. Ta północnokoreańska grupa APT znana jest m.in. z ataków hakerskich na emerytowanych dyplomatów z Korei Południowej. Avast ujawnia, że sprawcom udało się pozostawić wiele backdoorów (tzw. tylnych furtek) w sieciach korporacyjnych. Instalowano również oprogramowanie służące do nielegalnego kopania Bitcoinów.
Czytaj też
Przebieg ataku
Działania atakujących należą do bardzo skomplikowanych. Wykorzystują m.in. pliki PNG z shellcodem i wykorzystanie złośliwych rekordów DNS TXT.
Avast na swoim GitHubie udostępnił IoC (ang. Indicators of Compromise), czyli wskaźniki mówiące o kompromitacji danego systemu. Analitycy mają możliwość dotarcia do m.in. listy domen uznanych za złośliwe. Wiele z nich próbuje podszyć się pod Microsoft.
Przykładowe z nich to:
spf.microsoft(.)com
crl.microsoft(.)com
ext.microsoft(.)com
globalsign.microsoft(.)com
Czytaj też
Skala ataku i ochrona przed wykryciem
Nie podano szacowanej ilości urządzeń dotkniętych atakiem. Wiadomo jednak, że GuptiMiner istnieje od 2018 roku.
GuptiMiner sprawdzał również czy nie jest testowany w środowisku, które jest do tego przystosowane. Po wykryciu, że komputer nie ma więcej niż 4GB RAM i 4 rdzenie CPU, GuptiMiner mógł zadecydować o zaniechaniu działania. Kontrolował również to, czy na maszynie nie jest uruchomione oprogramowanie do nasłuchiwania ruchu sieciowego, takie jak Wireshark.
Czytaj też
Reakcja dostawcy antywirusa
eScan zapewnia, że problem został rozwiązany.
Avast twierdzi, że nadal odnotowywane są kolejne infekcje złośliwym oprogramowaniem, które mogą być powiązane z nieaktualną wersją eScan.
W przypadku tak skomplikowanego ataku ochrona jest trudna, lecz nie jest niemożliwa. Na pewno należy stale aktualizować oprogramowanie i wykrywać anomalie w ruchu sieciowym.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Haertle: Każdego da się zhakować
Materiał sponsorowany