杀毒软件更新被利用进行 GuptiMiner 恶意软件的部署

黑客利用 eScan 杀毒软件更新机制进行攻击

关键要点

黑客利用 eScan 杀毒软件的更新机制，分发 GuptiMiner 恶意软件。该恶意软件与朝鲜的 Kimsuky 高级持续威胁行动有关。GuptiMiner 使黑客获得系统级权限，并进行各种恶意操作。尽管 eScan 已采取措施，新的感染仍然在发生。

近期，黑客针对 eScan 杀毒软件的更新机制进行了入侵，怀疑与朝鲜的 Kimsuky 高级持续威胁行动有关，此举旨在传播一种名为 GuptiMiner 的复杂恶意软件。该恶意软件随后会分发加密货币挖矿负载，更多信息可以参考 BleepingComputer 的报道。

Avast 研究人员指出，黑客通过替换正常的病毒定义更新包，将含有 GuptiMiner 和 DLL 文件的恶意文件植入了 eScan 更新器。这使得该恶意软件获得了系统级权限，同时还能够执行额外负载的获取、主机持久化、DNS 操作、在进程中注入 Shellcode、代码虚拟化，以及在 Windows 注册表中存储 XOR 加密的负载等操作。

GuptiMiner 进一步交付了针对 Windows 7 和 Windows Server 2008 系统的更新版本 Putty Link 恶意软件。这种复杂的模块化负载专门针对加密货币钱包以及存储的私钥，还包括 XMRig 加密矿机。尽管 eScan 已经对此问题采取了应对措施，Avast 表示，新的感染事件仍在持续发生，更新补丁的延迟是主要原因。

黑洞加速器下载正版类型说明感知行动与朝鲜 Kimsuky 相关的入侵事件恶意软件GuptiMiner，涉及加密货币挖矿负载系统影响获得系统级权限，执行恶意操作

类型与影响： GuptiMiner 的主任目标是对加密货币投资者造成经济损失。 持续的更新滞后使得新的感染成为可能。

为保护个人和企业免受此类攻击，务必保持软件更新，并定期检查系统安全设置。