Perkhidmatan Antivirus eScan Menyampaikan Kemas Kini melalui HTTP telah Diserang dan Dijangkiti oleh Penggodam

Penggodam mengeksploitasi kelemahan dalam perkhidmatan antivirus untuk mengedarkan perisian hasad kepada pengguna yang tidak curiga selama lima tahun yang mengejutkan. Serangan itu menyasarkan eScan Antivirus, sebuah syarikat yang berpangkalan di India, yang telah menyampaikan kemas kini melalui HTTP, protokol yang terkenal dengan kerentanannya terhadap serangan siber yang memanipulasi atau menjejaskan data semasa penghantaran. Penyelidik keselamatan dari Avast mendedahkan bahawa pelaku, yang mungkin dikaitkan dengan kerajaan Korea Utara, melaksanakan serangan orang tengah (MitM) yang canggih. Taktik ini melibatkan memintas kemas kini yang sah daripada pelayan eScan dan menggantikannya dengan fail berniat jahat, akhirnya memasang pintu belakang yang dikenali sebagai GuptiMiner.

Sifat kompleks serangan itu melibatkan rantaian jangkitan. Pada mulanya, aplikasi eScan berkomunikasi dengan sistem kemas kini, memberikan peluang kepada pelaku ancaman untuk memintas dan menggantikan pakej kemas kini. Kaedah pemintasan yang tepat masih tidak jelas, walaupun penyelidik membuat spekulasi bahawa rangkaian yang terjejas mungkin telah memudahkan pengalihan trafik yang berniat jahat. Untuk mengelakkan pengesanan, perisian hasad menggunakan rampasan DLL dan menggunakan pelayan sistem nama domain tersuai (DNS) untuk menyambung ke saluran dikawal penyerang. Lelaran serangan kemudiannya menggunakan penyamaran alamat IP untuk mengaburkan infrastruktur arahan dan kawalan (C&C) .

Selain itu, beberapa varian perisian hasad menyembunyikan kod hasad mereka dalam fail imej, menjadikan pengesanan lebih mencabar. Selain itu, penyerang memasang sijil TLS akar tersuai untuk memenuhi keperluan tandatangan digital sistem tertentu, memastikan pemasangan perisian hasad berjaya. Yang mengejutkan, di samping pintu belakang, muatan termasuk XMRig , perisian perlombongan mata wang kripto sumber terbuka, menimbulkan persoalan tentang motif penyerang.

Operasi GuptiMiner mendedahkan kelemahan keselamatan yang ketara dalam amalan eScan, termasuk kekurangan HTTPS untuk penghantaran kemas kini dan ketiadaan tandatangan digital untuk mengesahkan integriti kemas kini. Walaupun terdapat kekurangan ini, eScan tidak menjawab pertanyaan mengenai reka bentuk proses kemas kini mereka.

Pengguna eScan Antivirus dinasihatkan untuk menyemak siaran Avast untuk mendapatkan maklumat tentang kemungkinan jangkitan, walaupun kemungkinan besar kebanyakan program antivirus yang mempunyai reputasi baik akan mengesan ancaman ini. Insiden ini menekankan kepentingan langkah keselamatan yang teguh dalam melindungi daripada serangan siber yang canggih.