eScan потврди дека сервер за ажурирања е компромитиран и користен за испорака на малициозно ажурирање

MicroWorld Technologies, производителот на антивирусниот производ eScan, потврди дека еден од неговите сервери за ажурирања бил компромитиран и искористен за дистрибуција на неовластено ажурирање, кое подоцна било анализирано како малициозно и доставено до мал подгруп на корисници на почетокот на овој месец.

Датотеката била испорачана до корисници кои преземале ажурирања од регионалниот кластер за ажурирање во временски период од два часа на 20 јануари 2026 година.

eScan наведува дека засегнатата инфраструктура во меѓувреме е изолирана и повторно изградена, автентикациските креденцијали се ротирани, а мерки за санација им се ставени на располагање на погодените корисници. Безбедносната компанија Morphisec одделно објави технички извештај во кој анализира малициозна активност забележана на кориснички уреди, што ја поврзува со ажурирања доставени од eScan инфраструктурата за ажурирање во истиот временски период.

Morphisec наведува дека детектирала малициозна активност на 20 јануари 2026 година и подоцна стапила во контакт со eScan. MicroWorld Technologies за BleepingComputer изјави дека ги оспорува тврдењата на Morphisec дека тие биле првите кои го откриле или пријавиле инцидентот. Според eScan, компанијата го детектирала проблемот интерно на 20 јануари преку мониторинг и пријави од корисници, ја изолирала засегнатата инфраструктура во рок од неколку часа и издала безбедносно известување на 21 јануари. eScan наведува дека Morphisec ја контактирала компанијата подоцна, откако веќе објавила јавни тврдења за инцидентот.

eScan исто така ги оспорува тврдењата дека погодените корисници не биле информирани, наведувајќи дека спровела проактивни известувања и директна комуникација со засегнатите клиенти додека финалната санација била во тек.

Компромитирана инфраструктура за ажурирања

Во своето безбедносно соопштение, eScan го класифицира инцидентот како инцидент со пристап до инфраструктурата за ажурирање, наведувајќи дека неовластен пристап до конфигурацијата на регионален сервер за ажурирања овозможил поставување на неовластена датотека во патеката за дистрибуција на ажурирања.

„Неовластен пристап до конфигурацијата на еден од нашите регионални сервери за ажурирања резултираше со поставување на неточна датотека (patch конфигурациска бинарна / корумпирано ажурирање) во патеката за дистрибуција на ажурирања“, стои во соопштението споделено со BleepingComputer од MicroWorld Technologies.

„Оваа датотека беше дистрибуирана до корисници кои преземаа ажурирања од засегнатиот серверски кластер во ограничен временски период на 20 јануари 2026 година.“

Компанијата нагласи дека инцидентот не вклучувал ранливост во самиот eScan производ.

eScan истакна дека погодени биле само корисниците чиј софтвер се ажурирал преку конкретниот регионален кластер, додека сите останати корисници не биле засегнати.

Сепак, eScan наведува дека корисниците кои го инсталирале малициозното ажурирање можеле да го забележат следното однесување на своите системи:

• Известувања за неуспех на сервисот за ажурирање
• Модифицирана HOSTS датотека на системот што спречува поврзување со eScan серверите за ажурирање
• Измени на конфигурациската датотека за ажурирање на eScan
• Неможност за добивање нови безбедносни дефиниции
• Известување за недостапност на ажурирања на клиентските машини

BleepingComputer стапил во контакт со eScan со дополнителни прашања за тоа кога нивните системи првично биле компромитирани и ќе ја ажурира приказната доколку добие одговор.

Ажурирање користено за испорака на малициозен софтвер

Безбедносниот билтен на Morphisec наведува дека малициозното ажурирање испорачало изменета верзија на eScan компонентата за ажурирање, „Reload.exe“.

„Малициозни ажурирања беа дистрибуирани преку легитимната инфраструктура за ажурирање на eScan, што резултираше со распоредување на повеќестепен малициозен софтвер на корпоративни и потрошувачки уреди ширум светот“, стои во билтенот на Morphisec.

Иако изменетата Reload.exe датотека е потпишана со она што изгледа како eScan сертификат за потпишување код, и Windows и VirusTotal ја прикажуваат потписот како невалиден.

Според Morphisec, датотеката Reload.exe (VirusTotal) била користена за овозможување перзистентност, извршување команди, модификација на Windows HOSTS датотеката за да се спречат далечински ажурирања и за поврзување со C2 инфраструктурата за преземање дополнителни payload-и.

Истражувачите наведуваат дека биле забележани следните command-and-control сервери:

hxxps[://]vhs[.]delrosal[.]net/i
hxxps[://]tumama[.]hns[.]to
hxxps[://]blackice[.]sol-domain[.]org
hxxps[://]codegiant[.]io/dd/dd/dd[.]git/download/main/middleware[.]ts
504e1a42.host.njalla[.]net
185.241.208[.]115

Крајниот payload што бил забележан како распореден бил датотека со име CONSCTLX.exe [VirusTotal], која според Morphisec функционира како backdoor и перзистентен downloader. Morphisec наведува дека малициозните датотеки креирале закажани задачи за одржување на перзистентност, користејќи имиња како „CorelDefrag“.

eScan има изработено ажурирање за санација кое корисниците можат да го извршат за да ги спроведат следните дејства:

• Автоматско идентификување и корекција на неточни модификации
• Повторно овозможување на правилната функционалност за ажурирање на eScan
• Потврда за успешно обновување
• Потребен е стандарден рестарт на системот

И eScan и Morphisec им препорачуваат на корисниците да ги блокираат наведените command-and-control (C2) сервери за дополнителна безбедност.

Во 2024 година, севернокорејски хакери беа забележани како го злоупотребуваат механизмот за ажурирање на антивирусот eScan за поставување backdoor-и на корпоративни мрежи.

Извори:

• Bleeping Computer – eScan confirms update server breached to push malicious update Bleeping Computer