Gelişmiş bir kötü amaçlı yazılım kampanyası, kötü amaçlı arka kapıları ve kripto para birimi madenciliği yazılımını dağıtmak için eScan antivirüs yazılımının güncelleme mekanizmasını tehlikeye atıyor.
GuptiMiner adlı kampanya, kötü şöhretli Kimsuky grubuyla potansiyel bağlantıları olan bir tehdit aktörüyle ilişkilendirildi.
GuptiMiner, Hintli bir siber güvenlik firmasının ürünü olan eScan antivirüsünün güncelleme sürecindeki güvenlik açıklarından yararlanmak için ortadaki adam saldırısından yararlanıyor.
Saldırganlar bu süreci ele geçirerek, kötü amaçlı yazılımlarını şüphelenmeyen kullanıcılara gizlice dağıtmayı başardılar.
Avast’ın araştırması sorunun keşfedilmesine yol açtı ve sorun derhal eScan’e ve Hindistan’ın Bilgisayar Acil Durum Müdahale Ekibi’ne (CERT) bildirildi. 31 Temmuz 2023’te eScan, güvenlik açığının giderildiğini ve çözüldüğünü doğruladı.
GuptiMiner Operasyonu
GuptiMiner kampanyası tek bir kötü amaçlı yazılım türüyle sınırlı değil, büyük kurumsal ağları ihlal etmek için tasarlanmış çeşitli araçları da içeriyor. Her biri saldırganlara virüslü sistemlere uzaktan erişim sağlama yeteneğine sahip iki farklı arka kapı belirlendi.
Ek olarak, kampanyanın son yükü, Monero (XMR) madenciliği yapmak için virüslü makinelerin işlem gücünden yararlanan, iyi bilinen bir kripto para madenciliği yazılımı olan XMRig’in dağıtımını içeriyor.
GuptiMiner, 2018’den bu yana, geliştiricilerinin yeteneklerini sürekli olarak geliştirmesiyle önemli bir evrim geçirdi. Kötü amaçlı yazılım karmaşık bir enfeksiyon zinciri sergiliyor ve aşağıdakiler gibi gelişmiş teknikler kullanıyor:
- Saldırgan tarafından kontrol edilen sunuculara DNS istekleri
- Kötü amaçlı yükleri yandan yükleme
- Görünürde zararsız görüntülerden yürütülebilir kodun çıkarılması
- Yükleri imzalamak için özel bir güvenilir kök bağlantı sertifika yetkilisinden yararlanma
Bu karmaşık yöntemler yalnızca saldırganların yüksek düzeydeki uzmanlığını göstermekle kalmıyor, aynı zamanda bu tür kötü amaçlı yazılım kampanyalarının oluşturduğu kalıcı tehdidi de vurguluyor.
GuptiMiner kampanyası, özellikle ağlarını korumak için antivirüs çözümlerine güvenen büyük kuruluşlar için ciddi bir güvenlik tehdidini temsil ediyor. Bilgisayar korsanlarının, kötü amaçlı yazılımları dağıtma mekanizması olarak güvenilir bir güncelleme sürecini kullanma becerisi, siber güvenlik alanında endişe verici bir gelişmedir.
GuptiMiner operasyonunda saldırganlar, saldırganın DNS sunucularına DNS isteklerini gerçekleştirmek, dışarıdan yükleme yapmak, masum görünen görüntülerden yükleri çıkarmak ve yükleri özel bir güvenilir kök çapa sertifika yetkilisi ile imzalamak da dahil olmak üzere geniş bir aşama ve işlevler zincirini devreye aldı.
Avast, tespit edildikten sonra güvenlik açığını etkilenen taraflara açıklayarak tehdidin etkisini hemen azalttı.
eScan’in hızlı yanıtı ve ardından sorunun çözülmesi, güvenlik açığından daha fazla yararlanılmasını önledi.
Kullanıcıların, antivirüs yazılımlarının güncel olduğundan emin olmaları ve bir tehlikeye işaret edebilecek olağandışı sistem davranışlarına karşı dikkatli olmaları tavsiye edilir.
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.