HTTP Üzerinden Güncellemeler Sağlayan eScan Antivirüs Hizmeti, Bilgisayar Korsanları Tarafından Saldırıya Uğradı ve Etkilendi

Bilgisayar korsanları, şaşırtıcı bir beş yıl boyunca şüphelenmeyen kullanıcılara kötü amaçlı yazılım dağıtmak için bir antivirüs hizmetindeki bir güvenlik açığından yararlandı. Saldırı, iletim sırasında verileri manipüle eden veya tehlikeye atan siber saldırılara karşı duyarlılığıyla bilinen bir protokol olan HTTP üzerinden güncellemeler sağlayan Hindistan merkezli bir şirket olan eScan Antivirus'ü hedef aldı. Avast'ın güvenlik araştırmacıları, muhtemelen Kuzey Kore hükümetiyle bağlantılı olan faillerin karmaşık bir ortadaki adam (MitM) saldırısı gerçekleştirdiğini ortaya çıkardı. Bu taktik, eScan sunucularından gelen yasal güncellemelerin ele geçirilmesini ve bunların kötü amaçlı dosyalarla değiştirilmesini ve sonuçta GuptiMiner olarak bilinen bir arka kapının kurulmasını içeriyordu.

Saldırının karmaşık doğası bir enfeksiyon zincirini içeriyordu. Başlangıçta eScan uygulamaları güncelleme sistemiyle iletişim kurarak tehdit aktörlerine güncelleme paketlerini yakalayıp değiştirme fırsatı sağladı. Kesin müdahale yöntemi belirsizliğini koruyor, ancak araştırmacılar, ele geçirilen ağların trafiğin kötü niyetli olarak yeniden yönlendirilmesini kolaylaştırmış olabileceğini düşünüyor. Kötü amaçlı yazılım, tespit edilmekten kaçınmak için DLL korsanlığını kullandı ve saldırganın kontrolündeki kanallara bağlanmak için özel alan adı sistemi (DNS) sunucularından yararlandı. Saldırının daha sonraki yinelemelerinde , komuta ve kontrol (C&C) altyapısını gizlemek için IP adresi maskeleme kullanıldı.

Ek olarak, kötü amaçlı yazılımın bazı çeşitleri, kötü amaçlı kodlarını görüntü dosyalarının içine gizleyerek tespit edilmesini daha da zorlaştırdı. Ayrıca saldırganlar, belirli sistemlerin dijital imzalama gereksinimlerini karşılamak için özel bir kök TLS sertifikası yükleyerek kötü amaçlı yazılımın başarılı bir şekilde yüklenmesini sağladı. Şaşırtıcı bir şekilde, arka kapının yanı sıra, veri yükü, açık kaynaklı bir kripto para madenciliği yazılımı olan XMRig'i de içeriyordu ve saldırganların amaçları hakkında soru işaretleri yarattı.

GuptiMiner operasyonu, eScan'in uygulamalarındaki, güncelleme teslimatı için HTTPS eksikliği ve güncelleme bütünlüğünü doğrulamak için dijital imzalama eksikliği de dahil olmak üzere önemli güvenlik kusurlarını ortaya çıkardı. Bu eksikliklere rağmen eScan, güncelleme süreci tasarımına ilişkin sorulara yanıt vermedi.

eScan Antivirus kullanıcılarının potansiyel enfeksiyonlarla ilgili bilgi için Avast'ın gönderisini incelemeleri önerilir; ancak çoğu saygın antivirüs programının bu tehdidi tespit etmesi muhtemeldir. Bu olay, karmaşık siber saldırılara karşı korunmada sağlam güvenlik önlemlerinin öneminin altını çiziyor.