เซิร์ฟเวอร์อัปเดต eScan Antivirus ถูกแฮกเพื่อเผยแพร่แพ็กเกจการอัปเดตที่เป็นอันตราย

เซิร์ฟเวอร์อัปเดตของ eScan Antivirus ถูกโจมตีในรูปแบบ Supply Chain Attack ครั้งใหญ่ ทำให้นักโจมตีสามารถบุกรุกโครงสร้างพื้นฐานการอัปเดตที่ถูกต้องตามกฎหมายของผู้จำหน่ายเพื่อแจกจ่ายมัลแวร์ การโจมตีนี้ถูกค้นพบเมื่อวันที่ 20 มกราคม 2026 โดย Morphisec โดยใช้แพ็กเกจอัปเดตที่ถูกเปลี่ยนเป็นโทรจันเพื่อติดตั้งมัลแวร์หลายขั้นตอนบนอุปกรณ์ปลายทางขององค์กรและผู้บริโภคทั่วโลก ทำให้ซอฟต์แวร์ป้องกันไวรัสไร้ประสิทธิภาพและทำการปรับเปลี่ยนการตั้งค่าระบบเพื่อป้องกันการแก้ไขอัตโนมัติ

Severity: วิกฤต

System Impact:

• ผลิตภัณฑ์ eScan Antivirus ของ MicroWorld Technologies
• อุปกรณ์ปลายทางขององค์กรและผู้บริโภคทั่วโลก
• Windows Registry (สำหรับการปิดใช้งานคุณสมบัติความปลอดภัยและการคงอยู่ของมัลแวร์)
• ไฟล์ hosts ของระบบ
• เซิร์ฟเวอร์อัปเดตของ eScan (ถูกบุกรุกและถูกบล็อกการสื่อสาร)

Technical Attack Steps:

1. **การบุกรุกเซิร์ฟเวอร์อัปเดต:** ผู้โจมตีสามารถยึดโครงสร้างพื้นฐานการอัปเดตที่ถูกต้องของ eScan ได้สำเร็จ
2. **การเผยแพร่ Payload ขั้นที่ 1:** มีการผลักดันการอัปเดตที่เป็นอันตรายผ่านช่องทางทางการของ eScan โดยแทนที่ไฟล์ไบนารี `Reload.exe` (32-bit) ที่ถูกต้องด้วยเวอร์ชันที่เป็นโทรจัน
3. **การข้ามการตรวจสอบลายเซ็นดิจิทัล:** ไฟล์ปฏิบัติการที่เป็นอันตรายถูกเซ็นชื่อดิจิทัลด้วยใบรับรองที่ถูกต้องของ eScan ทำให้สามารถข้ามการตรวจสอบความน่าเชื่อถือมาตรฐานได้
4. **การติดตั้ง Downloader ขั้นที่ 3:** Payload ของ `Reload.exe` ได้ติดตั้งไฟล์ `CONSCTLX.exe` (64-bit) ซึ่งเป็นดาวน์โหลดเดอร์
5. **การคงอยู่และการหลีกเลี่ยงการตรวจจับขั้นที่ 2:** ดาวน์โหลดเดอร์ขั้นที่ 2 (น่าจะถูกเริ่มโดยขั้นที่ 1 หรือ 3) ได้สร้างการคงอยู่ของมัลแวร์โดยใช้ PowerShell และทำการแก้ไข Windows Registry เพื่อปิดใช้งานคุณสมบัติความปลอดภัย
6. **การสื่อสารกับ C2:** มัลแวร์เชื่อมต่อกับโครงสร้างพื้นฐาน Command and Control (C2) เพื่อรับ Payload เพิ่มเติม
7. **การป้องกันการแก้ไข (Anti-Remediation):** มัลแวร์ได้แก้ไขไฟล์ `hosts` ของระบบที่ติดเชื้อเพื่อบล็อกการสื่อสารกับเซิร์ฟเวอร์อัปเดตของ eScan และแก้ไขคีย์รีจิสทรีและไฟล์กำหนดค่าของ eScan เพื่อปิดใช้งานกลไกการอัปเดตของโปรแกรมป้องกันไวรัสอย่างถาวร
8. **การคงอยู่ของมัลแวร์:** ทำได้โดยการสร้าง Scheduled Tasks ที่ปลอมแปลงขึ้นมาใน `C:\Windows\Defrag\` (เช่น `Windows\Defrag\CorelDefrag`) และสร้างการคงอยู่ของรีจิสทรีภายใต้ `HKLM\Software\` โดยใช้คีย์ GUID ที่สร้างแบบสุ่มซึ่งมี PowerShell Payload ที่ถูกเข้ารหัส

Recommendations:

Short Term:

• สแกนสภาพแวดล้อมของคุณทันทีเพื่อหา Indicators of Compromise (IOCs) ที่ระบุไว้ในข่าว
• ตรวจสอบไฟล์ `hosts` เพื่อดูรายการที่บล็อกโดเมนของ eScan
• ตรวจสอบ Registry เพื่อหาคีย์ GUID ที่น่าสงสัยซึ่งมีข้อมูลไบต์อาร์เรย์
• บล็อกการรับส่งข้อมูลขาออกไปยังโดเมนและ IP ของ C2 ที่ระบุ
• ติดต่อ MicroWorld Technologies (eScan) โดยตรงเพื่อขอรับแพตช์คู่มือพิเศษที่ออกแบบมาเพื่อคืนค่าการเปลี่ยนแปลงการกำหนดค่าและกู้คืนการทำงานของตัวอัปเดต
• พิจารณาว่าระบบที่ใช้ eScan ที่มีการใช้งานในหรือหลังวันที่ 20 มกราคม 2026 อาจถูกบุกรุก

Long Term:

Source: https://cybersecuritynews.com/escan-antivirus-update-server-hacked/