Операция GuptiMiner представляет собой многогранную кампанию по распространению вредоносного ПО, направленную на проникновение в крупные корпоративные сети. Вредоносная кампания включает в себя использование различных инструментов для достижения своих целей.
Удаленный доступ и добыча криптовалюты
В ходе исследования были выявлены два различных бэкдора, каждый из которых предоставляет злоумышленникам удаленный доступ к зараженным системам. Финальная нагрузка кампании включает в себя развертывание XMRig, известного программного обеспечения для майнинга криптовалюты, которое использует вычислительные мощности зараженных машин для добычи Monero (XMR).
С 2018 года GuptiMiner претерпел значительные изменения, и его разработчики постоянно совершенствуют его возможности. Вредоносная кампания демонстрирует сложную цепочку заражения и использует передовые методы, такие как:
- DNS-запросы к серверам, контролируемым злоумышленниками
- Подгрузка вредоносных нагрузок
- Извлечение исполняемого кода из казалось бы безобидных изображений
- Использование пользовательского доверенного корневого сертификата для подписания нагрузок
Эти сложные методы не только демонстрируют высокий уровень экспертизы злоумышленников, но и подчеркивают постоянную угрозу, исходящую от таких кампаний по распространению вредоносного ПО.
Кампания GuptiMiner представляет собой серьезную угрозу безопасности, особенно для крупных организаций, которые полагаются на антивирусные решения для защиты своих сетей. Способность хакеров использовать доверенный процесс обновления в качестве механизма доставки вредоносного ПО вызывает серьезные опасения в области кибербезопасности.
В операции GuptiMiner злоумышленники использовали передовые техники, такие как DNS-запросы к DNS-серверам злоумышленников, подгрузка, извлечение нагрузок из изображений и подписывание нагрузок с использованием доверенного корневого сертификата. Avast немедленно устранил угрозу после обнаружения, сообщив о уязвимости затронутым сторонам. Быстрая реакция eScan и последующее решение проблемы предотвратили дальнейшую эксплуатацию уязвимости.
Пользователям рекомендуется следить за обновлением антивирусного программного обеспечения и быть внимательными к любым необычным действиям системы, которые могут указывать на компрометацию.
Ищете способы защитить свою компанию от передовых киберугроз? Разверните TrustNet на своем радаре как можно скорее.