Avast 安全研究人员发现了一起大规模网络攻击,涉及电子扫描,来自印度的防病毒软件。显然,网络犯罪分子已成功劫持该软件,在计算机上传播恶意软件。最初,该操作基于“中间人”(MitM) 攻击,这是一种攻击形式,黑客谨慎地将自己置于两方之间。在这种情况下,网络犯罪分子介入了防病毒软件和用户之间。
具体来说,黑客拦截了HTTP 更新之一eScan 团队于 2019 年左右部署。正如转发 Avast 报告的 Ars Technica 所解释的那样,HTTP 协议容易受到攻击。确实有可能损坏或修改数据,因为它没有加密。目前,Avast 不知道攻击者如何拦截这些信息。
加密货币挖矿软件
黑客用恶意文件替换了 eScan 团队传输的数据。事实上,防病毒软件开始在用户的计算机上安装恶意软件。根据 Avast 研究人员的说法,这是古普蒂·迈纳。该病毒自 2018 年以来一直活跃,旨在在受感染的计算机上安装后门。
此外,该恶意软件还被编程为注射XMRig。该开源软件利用计算机 CPU 和 GPU 的强大功能来挖掘加密货币,而无需用户知情。另外还有后门“扫描设备以查找本地存储的私钥”。这些私钥提供对区块链上保存加密货币的钱包的访问。 Avast表示GuptiMiner主要针对商业网络。
来自朝鲜的网络攻击?
经过调查,Avast 认为此次网络攻击很可能是由来自以下国家的网络犯罪分子精心策划的:金苏基。该团伙由朝鲜政府资助,也被称为黑女妖,专门从事针对包括韩国在内的外国的间谍活动。研究人员确实在 Kimsuky 和 Guptiminer 使用的键盘记录器代码中发现了类似的元素。 Kimsuky 使用各种间谍工具(包括键盘记录器)来渗透和监视他的目标。
此外,应该记住,朝鲜资助的黑客普遍喜欢加密货币。为了通过数字货币产生收入,朝鲜政府依赖于一小群海盗。其中一些还策划针对去中心化金融协议和服务的网络攻击。这是拉撒路帮(也称为 APT38)。该团伙涉嫌盗窃1亿美元的加密货币区块链和谐等6.24 亿美元在浪人网络上。
为了避免这种类型的网络攻击,eScan 开发人员应该切换到 HTTPS 协议,该协议使用 SSL/TLS 加密来保护交换的数据。收到 Avast 的警报后,eScan 纠正了去年夏天攻击源头的缺陷。
来源 : 阿瓦斯特
