一个新的恶意软件活动一直在利用 eScan 防病毒软件的更新机制，通过代号为 GuptiMiner 的长期威胁，针对大型企业网络分发后门和 XMRig 等加密货币挖掘程序。

网络安全公司 Avast 表示，该活动是一名威胁行为者所为，该组织可能与朝鲜黑客组织Kimsuky（也称为 Black Banshee、Emerald Sleet 和 TA427）有联系。

“GuptiMiner 是一种高度复杂的威胁，它使用有趣的感染链以及多种技术，包括向攻击者的 DNS 服务器执行 DNS 请求、执行侧载、从看似无辜的图像中提取有效负载、使用自定义的受信任根锚点对其有效负载进行签名认证机构等，”Avast说。

该感染链错综复杂，其核心是利用印度杀毒厂商eScan更新机制中的安全缺陷，通过中间对手（AitM）攻击的方式传播恶意软件。

具体来说，它需要利用下载未使用 HTTPS 进行签名和保护的事实，通过用恶意版本替换包文件来劫持更新。该问题至少五年未被注意到，截至 2023 年 7 月 31 日已得到纠正。

由 eScan 软件执行的恶意 DLL（“updll62.dlz”）会旁加载 DLL（“version.dll”）以激活从 PNG 文件加载器开始的多阶段序列，该加载器反过来利用恶意 DNS 服务器来联系命令和控制 (C2) 服务器并获取带有附加 shellcode 的 PNG 文件。

研究人员 Jan Rubín 和 Milánek 表示：“GuptiMiner 托管自己的 DNS 服务器，通过 DNS TXT 响应为 C&C 服务器提供真实的目标域地址。”

“由于恶意软件直接连接到恶意 DNS 服务器，因此 DNS 协议与 DNS 网络完全分离。因此，任何合法的 DNS 服务器都不会看到来自该恶意软件的流量。”

然后解析 PNG 文件以提取 shellcode，然后该 shellcode 负责执行 Gzip 加载程序，该加载程序旨在使用 Gzip 解压缩另一个 shellcode 并在单独的线程中执行它。

第三阶段的恶意软件被称为 Puppeteer，它幕后操纵一切，最终在受感染的系统上部署 XMRig 加密货币挖矿程序和后门。

Avast 表示，它遇到了两种不同类型的后门，这些后门具有能够横向移动、接受威胁行为者的命令以及根据需要提供附加组件的功能。

“第一个是 PuTTY Link 的增强版本，提供本地网络的 SMB 扫描，并允许通过网络横向移动到网络上可能存在漏洞的 Windows 7 和 Windows Server 2008 系统，”研究人员解释道。

“第二个后门是多模块的，接受攻击者的命令安装更多模块，并专注于扫描本地系统上存储的私钥和加密钱包。”

XMRig 的部署被描述为“意外”，因为这本来是一项复杂且精心执行的操作，这增加了矿工分散注意力以阻止受害者发现妥协的真实程度的可能性。

据了解，GuptiMiner 至少从 2018 年就开始活跃，它还利用了各种技术，例如反虚拟机和反调试技巧、代码虚拟化、在系统关闭事件期间删​​除 PNG 加载程序、在 Windows 注册表中存储有效负载以及添加根证书到 Windows 的证书存储，以使 PNG 加载器 DLL 看起来值得信赖。

Kimusky 的链接来自一个信息窃取程序，虽然不是由 GuptiMiner 分发或通过感染流传播，但已“在整个 GuptiMiner 活动中”使用，并且与先前 确定为该组织使用的键盘记录器共享重叠。

目前尚不清楚该活动的目标是谁，但 GuptiMiner 工件早在 2018 年 4 月就已从印度和德国上传到 VirusTotal，Avast 遥测数据突出显示新感染可能源自过时的 eScan 客户端。

该调查结果发布之际，韩国国家警察厅 (KNPA)谴责Lazarus、Andariel 和 Kimsuky 等朝鲜黑客组织针对该国国防部门并窃取其中一些有价值的数据。

《韩国经济日报》的一篇报道称， 2022 年 10 月至 2023 年 7 月，威胁行为者侵入了 83 家韩国国防承包商的网络，并窃取了其中约 10 家的机密信息。