Reklama

Cyberbezpieczeństwo

Hakerzy z Korei Północnej zaszyli malware w aktualizacjach antywirusa

Północnokoreańscy hakerzy nie odpuszczają
Północnokoreańscy hakerzy nie odpuszczają
Autor. Vilius Kukanauskas, https://pixabay.com/pl/illustrations/ai-generowane-haker-kodowanie-8640893/

Korea Północna jest poważnym zagrożeniem w cyberprzestrzeni i udowodniła to po raz kolejny. Hakerom z tego kraju udało się przejąć kontrolę nad aktualizacjami eScan, oprogramowania antywirusowego od MicroWorld Technologies. Atak był wieloetapowy i skomplikowany.

Sprawa dotyczy kampanii GuptiMiner, za którą odpowiedzialne jest Kimsuky. Ta północnokoreańska grupa APT znana jest m.in. z ataków hakerskich na emerytowanych dyplomatów z Korei Południowej. Avast ujawnia, że sprawcom udało się pozostawić wiele backdoorów (tzw. tylnych furtek) w sieciach korporacyjnych. Instalowano również oprogramowanie służące do nielegalnego kopania Bitcoinów.

Czytaj też

Reklama

Przebieg ataku

Działania atakujących należą do bardzo skomplikowanych. Wykorzystują m.in. pliki PNG z shellcodem i wykorzystanie złośliwych rekordów DNS TXT.

Grafika opisująca proces ataku
Grafika opisująca proces ataku
Autor. Avast, https://decoded.avast.io/wp-content/uploads/sites/2/2024/04/image-58.png

Avast na swoim GitHubie udostępnił IoC (ang. Indicators of Compromise), czyli wskaźniki mówiące o kompromitacji danego systemu. Analitycy mają możliwość dotarcia do m.in. listy domen uznanych za złośliwe. Wiele z nich próbuje podszyć się pod Microsoft.

Przykładowe z nich to:

spf.microsoft(.)com

crl.microsoft(.)com

ext.microsoft(.)com

globalsign.microsoft(.)com

Czytaj też

Reklama

Skala ataku i ochrona przed wykryciem

Nie podano szacowanej ilości urządzeń dotkniętych atakiem. Wiadomo jednak, że GuptiMiner istnieje od 2018 roku.

GuptiMiner sprawdzał również czy nie jest testowany w środowisku, które jest do tego przystosowane. Po wykryciu, że komputer nie ma więcej niż 4GB RAM i 4 rdzenie CPU, GuptiMiner mógł zadecydować o zaniechaniu działania. Kontrolował również to, czy na maszynie nie jest uruchomione oprogramowanie do nasłuchiwania ruchu sieciowego, takie jak Wireshark.

Czytaj też

Reklama

Reakcja dostawcy antywirusa

eScan zapewnia, że problem został rozwiązany.

Avast twierdzi, że nadal odnotowywane są kolejne infekcje złośliwym oprogramowaniem, które mogą być powiązane z nieaktualną wersją eScan.

W przypadku tak skomplikowanego ataku ochrona jest trudna, lecz nie jest niemożliwa. Na pewno należy stale aktualizować oprogramowanie i wykrywać anomalie w ruchu sieciowym.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Haertle: Każdego da się zhakować

Materiał sponsorowany

Komentarze

    Reklama