Avast 安全研究人員發現了一起大規模網路攻擊,涉及電子掃描,來自印度的防毒軟體。顯然,網路犯罪分子已成功劫持該軟體,在電腦上傳播惡意軟體。最初,該操作基於「中間人」(MitM) 攻擊,這是一種攻擊形式,駭客謹慎地將自己置於兩方之間。在這種情況下,網路犯罪分子介入了防毒軟體和使用者之間。
具體來說,駭客攔截了HTTP 更新之一eScan 團隊在 2019 年左右部署。確實有可能損壞或修改數據,因為它沒有加密。目前,Avast 不知道攻擊者如何攔截這些訊息。
加密貨幣挖礦軟體
駭客用惡意檔案取代了 eScan 團隊傳輸的資料。事實上,防毒軟體開始在使用者的電腦上安裝惡意軟體。根據 Avast 研究人員的說法,這是古普蒂·邁納。該病毒自 2018 年以來一直活躍,旨在在受感染的電腦上安裝後門。
此外,該惡意軟體也被編程為注射XMRig。該開源軟體利用電腦 CPU 和 GPU 的強大功能來挖掘加密貨幣,而無需用戶知情。另外還有後門“掃描設備以查找本地儲存的私鑰。”這些私鑰提供對區塊鏈上保存加密貨幣的錢包的存取。 Avast表示GuptiMiner主要針對商業網路。
來自北韓的網路攻擊?
經過調查,Avast 認為這次網路攻擊很可能是由來自以下國家的網路犯罪分子精心策劃的:金蘇基。該團夥由北韓政府資助,也被稱為黑女妖,專門從事針對包括南韓在內的外國的間諜活動。研究人員確實在 Kimsuky 和 Guptiminer 使用的鍵盤記錄器程式碼中發現了類似的元素。 Kimsuky 使用各種間諜工具(包括鍵盤記錄器)來滲透和監視他的目標。
此外,應該記住,北韓資助的駭客普遍喜歡加密貨幣。為了透過數位貨幣產生收入,北韓政府依賴一小群海盜。其中一些還策劃針對去中心化金融協議和服務的網路攻擊。這是拉撒路幫(也稱為 APT38)。該團夥涉嫌盜竊價值 1 億美元的加密貨幣區塊鏈和諧等6.24 億美元在浪人網路上。
為了避免這種類型的網路攻擊,eScan 開發人員應該切換到 HTTPS 協議,該協議使用 SSL/TLS 加密來保護交換的資料。收到 Avast 的警報後,eScan 修正了去年夏天攻擊源頭的缺陷。
來源 : 阿瓦斯特
