Hạ tầng cập nhật của phần mềm diệt virus eScan, một giải pháp bảo mật do công ty an ninh mạng Ấn Độ MicroWorld Technologies phát triển, đã bị những kẻ tấn công không xác định xâm nhập để phát tán một downloader duy trì trên các hệ thống của doanh nghiệp và người tiêu dùng.
Nhà nghiên cứu Michael Gorelik của Morphisec cho biết: "Các bản cập nhật độc hại đã được phân phối thông qua hạ tầng cập nhật hợp pháp của eScan, dẫn đến việc triển khai mã độc nhiều giai đoạn tới các điểm cuối của doanh nghiệp và người tiêu dùng trên toàn cầu."
MicroWorld Technologies đã tiết lộ rằng họ phát hiện ra truy cập trái phép vào hạ tầng của mình và ngay lập tức cách ly các máy chủ cập nhật bị ảnh hưởng, chúng đã ngoại tuyến hơn tám giờ. Công ty cũng đã phát hành một bản vá để hoàn nguyên các thay đổi được đưa vào như một phần của bản cập nhật độc hại. Các tổ chức bị ảnh hưởng được khuyến nghị liên hệ với MicroWorld Technologies để nhận bản sửa lỗi.
Công ty cũng xác định cuộc tấn công là kết quả của việc truy cập trái phép vào một trong các cấu hình máy chủ cập nhật khu vực của họ, điều này cho phép các tác nhân đe dọa phân phối một bản cập nhật "hỏng" cho khách hàng trong một "khung thời gian giới hạn" khoảng hai giờ vào ngày 20 tháng 1 năm 2026.
Trong một cảnh báo được đưa ra vào ngày 22 tháng 1 năm 2026, công ty cho biết: "eScan đã trải qua sự gián đoạn dịch vụ cập nhật tạm thời bắt đầu từ ngày 20 tháng 1 năm 2026, ảnh hưởng đến một nhóm khách hàng có hệ thống tự động tải xuống các bản cập nhật trong một khung thời gian cụ thể, từ một cụm cập nhật cụ thể."
"Vấn đề phát sinh từ việc truy cập trái phép vào hạ tầng máy chủ cập nhật khu vực. Sự cố đã được xác định và giải quyết. Một biện pháp khắc phục toàn diện đã có sẵn để giải quyết tất cả các kịch bản đã quan sát."
Chi tiết về cuộc tấn công chuỗi cung ứng eScan
Morphisec, công ty đã xác định sự cố vào ngày 20 tháng 1 năm 2026, cho biết payload độc hại can thiệp vào chức năng thông thường của sản phẩm, ngăn chặn hiệu quả việc khắc phục tự động. Điều này đặc biệt liên quan đến việc phân phối một tệp "Reload.exe" độc hại được thiết kế để thả một downloader, chứa chức năng thiết lập persistence, chặn các bản cập nhật từ xa và liên hệ với một máy chủ bên ngoài để tìm nạp các payload bổ sung, bao gồm "CONSCTLX.exe".
Theo chi tiết được Kaspersky chia sẻ, "Reload.exe" – một tệp hợp pháp nằm trong "C:\Program Files (x86)\escan\reload.exe" – được thay thế bằng một bản sao độc hại có thể ngăn chặn các bản cập nhật sản phẩm antivirus tiếp theo bằng cách sửa đổi tệp HOSTS. Nó được ký bằng một chữ ký số giả mạo, không hợp lệ.
Công ty an ninh mạng Nga cho biết: "Khi khởi chạy, tệp reload.exe này sẽ kiểm tra xem nó có được khởi chạy từ thư mục Program Files hay không và thoát nếu không. Executable này dựa trên công cụ UnmanagedPowerShell, cho phép thực thi PowerShell code trong bất kỳ process nào. Attackers đã sửa đổi source code của project này bằng cách thêm khả năng bypass AMSI vào đó, và sử dụng nó để thực thi một script PowerShell độc hại bên trong process reload.exe."
Trách nhiệm chính của binary là khởi chạy ba payload PowerShell được mã hóa Base64, được thiết kế để:
- Can thiệp vào giải pháp eScan đã cài đặt để ngăn nó nhận các bản cập nhật và phát hiện các thành phần độc hại đã cài đặt.
- Bypass Windows Antimalware Scan Interface (AMSI).
- Kiểm tra xem máy nạn nhân có nên bị lây nhiễm thêm hay không, và nếu có, sẽ cung cấp một payload dựa trên PowerShell cho nó.
Bước xác thực nạn nhân kiểm tra danh sách phần mềm đã cài đặt, các process đang chạy và service so với một blocklist được mã hóa cứng bao gồm các analysis tools và security solutions, bao gồm cả của Kaspersky. Nếu chúng được phát hiện, sẽ không có payload nào tiếp theo được phân phối.
Payload PowerShell, sau khi được thực thi, liên hệ với một máy chủ bên ngoài để nhận lại hai payload: "CONSCTLX.exe" và một mã độc dựa trên PowerShell thứ hai được khởi chạy bằng cách sử dụng một scheduled task. Điều đáng chú ý là script PowerShell đầu tiên trong ba script nói trên cũng thay thế thành phần "C:\Program Files (x86)\eScan\CONSCTLX.exe" bằng tệp độc hại.
"CONSCTLX.exe" hoạt động bằng cách khởi chạy mã độc dựa trên PowerShell, đồng thời thay đổi thời gian cập nhật cuối cùng của sản phẩm eScan thành thời gian hiện tại bằng cách ghi ngày hiện tại vào tệp "C:\Program Files (x86)\eScan\Eupdate.ini" để tạo ấn tượng rằng công cụ này đang hoạt động như mong đợi.
Mã độc PowerShell, về phần mình, thực hiện các quy trình xác thực tương tự như trước và gửi yêu cầu HTTP đến hạ tầng do kẻ tấn công kiểm soát để nhận thêm payload PowerShell từ máy chủ để thực thi sau đó.
Bản tin của eScan không nói rõ máy chủ cập nhật khu vực nào bị ảnh hưởng, nhưng phân tích dữ liệu telemetry của Kaspersky đã tiết lộ "hàng trăm máy thuộc về cả cá nhân và tổ chức" đã gặp phải các nỗ lực lây nhiễm với các payload liên quan đến cuộc tấn công chuỗi cung ứng. Các máy này chủ yếu nằm ở Ấn Độ, Bangladesh, Sri Lanka và Philippines.
Tổ chức an ninh cũng lưu ý rằng những kẻ tấn công phải nghiên cứu kỹ lưỡng nội bộ của eScan để hiểu cách cơ chế cập nhật của nó hoạt động và cách nó có thể bị can thiệp để phân phối các bản cập nhật độc hại. Hiện tại vẫn chưa biết làm thế nào các tác nhân đe dọa có thể giành được quyền truy cập vào máy chủ cập nhật.
Công ty cho biết: "Đặc biệt, việc mã độc được triển khai thông qua một bản cập nhật giải pháp bảo mật là khá độc đáo. Các cuộc tấn công chuỗi cung ứng là một sự kiện hiếm gặp nói chung, chưa kể đến những cuộc tấn công được dàn dựng thông qua các sản phẩm antivirus."
