Kuzey Koreli bilgisayar korsanları, büyük kurumsal ağlara arka planlar dikmek ve Guptiminer kötü amaçlı yazılım aracılığıyla kripto para madencileri sunmak için Escan Antivirüs'ün güncelleme mekanizmasını kullanıyor.
Araştırmacılar, Guptiminer'ı saldırganın DNS sunucularına DNS istekleri gerçekleştirebilen, resimlerden yükleri çıkarabilen, yüklerini imzalayabilen ve DLL sideloading gerçekleştirebilen "son derece sofistike bir tehdit" olarak tanımlıyor.
Bugün yayınlanan bir raporda, Siber Güvenlik Şirketi Avast, Guptiminer'ın arkasındaki tehdit oyuncusunun, normal virüs tanımı güncelleme paketini ele geçirmek ve 'Updll62.dlz adlı kötü amaçlı bir tane ile değiştirmek için ortada bir düşman (AITM) pozisyonuna sahip olduğunu söylüyor. '
Kötü amaçlı dosya, gerekli antivirüs güncellemelerini ve ‘sürüm.dll’ adlı bir DLL dosyası olarak bir Guptiminer kötü amaçlı yazılımını içerir.
Escan güncelleyici paketi normal olarak işler, ambalajı açar ve yürütür. Bu aşamada, DLL, kötü amaçlı yazılım sistemi düzeyinde ayrıcalıklar vererek Escan’ın meşru ikili dosyaları tarafından yüklenir.
Daha sonra, DLL, saldırganın altyapısından ek yükler getirir, planlanan görevler yoluyla ev sahibinde kalıcılık oluşturur, DNS manipülasyonu gerçekleştirir, meşru süreçlere kabuk kodunu enjekte eder, kod sanallaştırma kullanır, PNG'lerden alıntılardan png'lerden xor-kripli yükler depolar ve .
Guptiminer ayrıca, çalıştırdığı sistemin 4 CPU çekirdeğinden ve 4GB RAM'i Sandbox ortamlarından kaçınmak için kontrol eder ve Wireshark, Windbg, Tcpview, 360 Toplam Güvenlik, Huorong İnternet Güvenliği, Process Gezgini, Proses Monitör ve OllydBG'nin etkin olup olmadığını belirler koşma.
Ahnlab ve Cisco Talos ürünleri de ihlal edilen makinede çalışıyorlarsa devre dışı bırakılır. Aşağıda enfeksiyon zincirinin tam bir diyagramı bulunmaktadır:
Avast araştırmacıları, Guptiminer'ın bilgi çalma fonksiyonu ile Kimuky Keylogger arasındaki benzerliklere dayanarak Kuzey Kore apt grubu Kimuki ile bağlantılı olabileceğini söylüyor.
Araştırmacılar ayrıca Guptiminer operasyonunun bazı bölümlerinin Kimuki ile olası bir bağlantı önerdiğini keşfettiler. Ortaklık, normalde Kimuky operasyonlarında görülen alan MyGamesonline [.] Org'un kullanılmasıdır.
Bilgisayar korsanları Guptiminer'ı, iki farklı arka kapı ve XMRIG Monero Madenci de dahil olmak üzere tehlikeye atılmış sistemlere birden fazla kötü amaçlı yazılım dağıtmak için kullandılar.
İlk arka kapı, savunmasız sistemler için yerel ağı taramak için kurumsal sistemlere dağıtılan ve yanal hareket için pivot noktaları olan gelişmiş bir Putty Link sürümüdür.
Özellikle Windows 7 ve Windows Server 2008 sistemlerini arar ve bunları SMB trafik tünelleme yoluyla kullanır.
İkinci arka kapı, depolanmış özel anahtarlar ve kripto para cüzdanları için ana bilgisayarları tarayan karmaşık bir modüler kötü amaçlı yazılımdır ve gürültülü tekrarları önlemek için taramanın tamamlanmasını işaretlemek için bir kayıt defteri anahtarı oluşturur.
Kayıt defterine ek modüller yüklemek için komutları kabul edebilir ve enfekte ortamlardaki yeteneklerini daha da artırabilir. Ancak Avast ek ayrıntılar sağlamadı.
Saldırganlar ayrıca, analiz edilen kampanyada sergilenen sofistike olmanın aksine ve dikkati ana saldırı hattından ayırma girişimi olabilir.
Avast araştırmacıları, Escan'a yönelik sömürülen kırılganlığı açıkladı ve antivirüs satıcısı sorunun giderildiğini doğruladı.
Escan ayrıca aldıkları son benzer raporun 2019'da olduğunu söyledi. 2020'de satıcı, imzalanmamış ikili dosyaların reddedilmesini sağlamak için daha sağlam bir kontrol mekanizması uyguladı.
En son uygulamada, ESCAN'ın güncelleme indirmeleri, satıcının buluta dönük sunucularla etkileşime giren müşteriler için şifreli iletişim sağlamak için HTTPS üzerinden gerçekleşir.
Ancak Avast, Guptiminer'ın eski Escan müşterilerini gösterebilecek yeni enfeksiyonları gözlemlemeye devam ettiğini bildirdi.
Savunucuların bu tehdidi azaltmasına yardımcı olmak için Gupiminer Uzlaşma Göstergelerinin (IOCS) tam listesi bu GitHub sayfasında bulunabilir.
Screenconnect Kusurları Yeni Toddlerhark kötü amaçlı yazılımları bırakmak için sömürüldü
Stealthy GtpDoor Linux kötü amaçlı yazılım hedefleri mobil operatör ağları
Japonya, Kuzey Koreli hackerlar tarafından yaratılan kötü niyetli Pypi paketlerini uyarıyor
Coralraider saldırıları, Info-Stealer kötü amaçlı yazılımları itmek için CDN önbelleği kullanır
DPRK Hacking Grupları Güney Kore Savunma Müteahhitlerini İhlal
Kaynak: Bleeping Computer