HTTP経由でアップデートを配信するeScanアンチウイルスサービスがハッカーの攻撃を受け感染

ハッカーは、なんと 5 年間にわたり、ウイルス対策サービスの脆弱性を悪用して、何も知らないユーザーにマルウェアを配布していました。攻撃の標的はインドに拠点を置く eScan Antivirus 社で、同社は HTTP 経由でアップデートを配信していました。HTTP は、送信中にデータを操作したり、侵害したりするサイバー攻撃を受けやすいことで知られるプロトコルです。Avast のセキュリティ研究者は、北朝鮮政府と関係があると思われる犯人が、高度な中間者 (MitM) 攻撃を実行したことを明らかにしました。この戦術では、eScan 社のサーバーから正当なアップデートを傍受して悪意のあるファイルに置き換え、最終的に GuptiMiner と呼ばれるバックドアをインストールします。

この攻撃の複雑な性質には、感染の連鎖が関係していました。最初に、eScan アプリケーションが更新システムと通信し、脅威アクターが更新パッケージを傍受して置き換える機会を提供しました。傍受の正確な方法は不明ですが、研究者は、侵害されたネットワークがトラフィックの悪意のあるリダイレクトを促進した可能性があると推測しています。検出を回避するために、マルウェアはDLL ハイジャックを使用し、攻撃者が制御するチャネルに接続するためにカスタム ドメイン ネーム システム (DNS) サーバーを利用しました。攻撃の後の反復では、コマンド アンド コントロール (C&C) インフラストラクチャを難読化するために IP アドレス マスキングが使用されました。

さらに、マルウェアのいくつかの亜種は、悪意のあるコードを画像ファイル内に隠しており、検出がさらに困難になっています。さらに、攻撃者は、特定のシステムのデジタル署名要件を満たすためにカスタムルート TLS 証明書をインストールし、マルウェアのインストールを確実に成功させています。驚いたことに、ペイロードにはバックドアのほかに、オープンソースの暗号通貨マイニングソフトウェアであるXMRig も含まれており、攻撃者の動機について疑問が生じています。

GuptiMiner の活動により、アップデート配信に HTTPS が使用されていなかったことや、アップデートの整合性を検証するためのデジタル署名がなかったことなど、eScan の慣行に重大なセキュリティ上の欠陥があることが明らかになりました。これらの欠陥にもかかわらず、eScan はアップデート プロセスの設計に関する問い合わせには応答しませんでした。

eScan Antivirus のユーザーは、感染の可能性に関する情報については Avast の投稿を確認することをお勧めしますが、評判の良いウイルス対策プログラムのほとんどはこの脅威を検出する可能性があります。この事件は、高度なサイバー攻撃から身を守るために堅牢なセキュリティ対策が重要であることを強調しています。