Des pirates nord-coréens exploitent le mécanisme de mise à jour de l’antivirus eScan pour implanter des portes dérobées sur les grands réseaux d’entreprise et livrer des mineurs de crypto-monnaie via des logiciels malveillants GuptiMiner.

Les chercheurs décrivent GuptiMiner comme « une menace hautement sophistiquée » qui peut effectuer des requêtes DNS sur les serveurs DNS de l’attaquant, extraire des charges utiles d’images, signer ses charges utiles et effectuer un chargement latéral de DLL.

Livraison de GuptiMiner via les mises à jour eScan
Dans un rapport publié aujourd’hui, la société de cybersécurité Avast affirme que l’acteur de la menace derrière GuptiMiner avait une position d’adversaire au milieu (AitM) pour détourner le package de mise à jour de définition de virus normal et le remplacer par un programme malveillant nommé ‘updll62.dz.’

Le fichier malveillant comprend les mises à jour antivirus nécessaires ainsi qu’un malware GuptiMiner sous la forme d’un fichier DLL nommé ‘version.dll.’

Le programme de mise à jour eScan traite le package normalement, le décompresse et l’exécute. Au cours de cette étape, la DLL est chargée en parallèle par les binaires légitimes d’eScan, ce qui confère au malware des privilèges au niveau du système.

Ensuite, la DLL récupère des charges utiles supplémentaires à partir de l’infrastructure de l’attaquant, établit la persistance sur l’hôte via des tâches planifiées, effectue une manipulation DNS, injecte du shellcode sur des processus légitimes, utilise la virtualisation de code, stocke les charges utiles chiffrées XOR dans le registre Windows et extrait PEs des PNG.

GuptiMiner vérifie également si le système qu’il exécute a plus de 4 cœurs de processeur et 4 Go de RAM pour échapper aux environnements de bac à sable, et détermine si Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor et Oydbg sont en cours d’exécution.

Les produits AhnLab et Cisco Talos sont également désactivés s’ils s’exécutent sur la machine piratée. Vous trouverez ci-dessous un schéma complet de la chaîne d’infection:

Chaîne d’attaque de GuptiMiner

Les chercheurs d’Avast affirment que GuptiMiner pourrait être lié au groupe APT nord-coréen Kimsuki, sur la base des similitudes entre la fonction de vol d’informations et l’enregistreur de frappe Kimsuky.

Les chercheurs ont également découvert que certaines parties de l’opération de GuptiMiner suggèrent un lien possible avec Kimsuki. Un point commun est l’utilisation du domaine mygamesonline[.] org, qui est habituellement vu dans les opérations Kimsuky.

Outils malveillants déployés
Les pirates ont utilisé GuptiMiner pour déployer plusieurs logiciels malveillants sur des systèmes compromis,y compris deux portes dérobées distinctes et le mineur XMRig Monero.

La première porte dérobée est une version améliorée de Putty Link, déployée sur les systèmes d’entreprise pour analyser le réseau local à la recherche de systèmes vulnérables et de points de pivot pour les mouvements latéraux.

Il recherche spécifiquement les systèmes Windows 7 et Windows Server 2008, en les exploitant via le tunneling du trafic SMB.

La deuxième porte dérobée est un logiciel malveillant modulaire complexe qui analyse l’hôte à la recherche de clés privées stockées et de portefeuilles de crypto-monnaie, et crée une clé de registre pour marquer la fin de l’analyse, afin d’éviter les répétitions bruyantes.

Il peut accepter des commandes pour installer des modules supplémentaires dans le registre, améliorant encore ses capacités dans les environnements infectés. Cependant, Avast n’a pas fourni de détails supplémentaires.

Les attaquants ont également abandonné le mineur XMRig dans de nombreux cas, ce qui contraste avec la sophistication présentée dans la campagne analysée et pourrait être une tentative de détourner l’attention de la ligne d’attaque principale.

Réponse d’eScan
Les chercheurs d’Avast ont divulgué la vulnérabilité exploitée à eScan et le fournisseur d’antivirus a confirmé que le problème avait été résolu.

eScan a également déclaré que le dernier rapport similaire qu’ils avaient reçu datait de 2019. En 2020, le fournisseur a mis en place un mécanisme de vérification plus robuste pour s’assurer que les binaires non signés étaient rejetés.

Dans l’implémentation la plus récente, les téléchargements des mises à jour d’eScan se font via HTTPS pour garantir une communication cryptée pour les clients interagissant avec les serveurs orientés cloud du fournisseur.

Cependant, Avast rapporte qu’il continue d’observer de nouvelles infections par GuptiMiner, ce qui pourrait indiquer des clients eScan obsolètes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *