MicroWorld Technologies ผู้ผลิตผลิตภัณฑ์แอนติไวรัส eScan ได้ยืนยันว่าหนึ่งในเซิร์ฟเวอร์อัปเดตของบริษัทถูกโจมตีและถูกใช้เพื่อแจกจ่ายอัปเดตที่ไม่ได้รับอนุญาต ซึ่งต่อมาถูกวิเคราะห์ว่าเป็นมัลแวร์ ให้กับลูกค้าจำนวนน้อยเมื่อต้นเดือนนี้ ไฟล์ดังกล่าวถูกส่งไปยังลูกค้าที่ดาวน์โหลดการอัปเดตจากคลัสเตอร์การอัปเดตในภูมิภาคในช่วงเวลาสองชั่วโมงในวันที่ 20 มกราคม 2026
Severity: วิกฤต
System Impact:
- ผลิตภัณฑ์แอนติไวรัส eScan ของลูกค้าที่ได้รับผลกระทบ (กลุ่มย่อย)
- เซิร์ฟเวอร์อัปเดตในภูมิภาคของ eScan
- เครื่องลูกข่ายขององค์กรและผู้ใช้งานทั่วไป (enterprise and consumer endpoints)
- ไฟล์ hosts ของ Windows ถูกแก้ไข ทำให้ไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์อัปเดตของ eScan ได้
- ไฟล์กำหนดค่าการอัปเดตของ eScan ถูกแก้ไข
- ไม่สามารถรับการอัปเดตนิยามความปลอดภัยใหม่ได้
- การแจ้งเตือนความล้มเหลวของบริการอัปเดต
- หน้าต่างแจ้งเตือนการอัปเดตไม่พร้อมใช้งานบนเครื่องลูกข่าย
Technical Attack Steps:
- การเข้าถึงเซิร์ฟเวอร์อัปเดตในภูมิภาคของ eScan โดยไม่ได้รับอนุญาต
- มีการวางไฟล์ที่ไม่ถูกต้อง (patch configuration binary/corrupt update) ลงในเส้นทางการกระจายอัปเดต
- มีการแจกจ่ายไฟล์ที่เป็นอันตรายนี้ไปยังลูกค้ากลุ่มเล็กๆ ที่ดาวน์โหลดการอัปเดตจากคลัสเตอร์เซิร์ฟเวอร์ที่ได้รับผลกระทบในช่วงเวลาจำกัด
- อัปเดตที่เป็นอันตรายได้ติดตั้งไฟล์ ‘Reload.exe’ ที่ถูกดัดแปลง
- ไฟล์ ‘Reload.exe’ ที่ถูกดัดแปลงถูกใช้เพื่อสร้างความคงอยู่ (persistence), รันคำสั่ง, แก้ไขไฟล์ Windows HOSTS เพื่อป้องกันการอัปเดตจากระยะไกล, และเชื่อมต่อกับโครงสร้างพื้นฐาน C2 เพื่อดาวน์โหลดเพย์โหลดเพิ่มเติม
- เพย์โหลดสุดท้ายที่ถูกติดตั้งคือไฟล์ชื่อ ‘CONSCTLX.exe’ ซึ่งทำหน้าที่เป็น backdoor และ persistent downloader
- ไฟล์ ‘CONSCTLX.exe’ สร้าง Scheduled tasks เพื่อสร้างความคงอยู่ โดยใช้ชื่อเช่น ‘CorelDefrag’
Recommendations:
Short Term:
- ใช้งานการอัปเดตแก้ไข (remediation update) ที่ eScan จัดเตรียมไว้ ซึ่งจะระบุและแก้ไขการปรับเปลี่ยนที่ไม่ถูกต้องโดยอัตโนมัติ, เปิดใช้งานฟังก์ชันการอัปเดต eScan ที่เหมาะสมอีกครั้ง, ตรวจสอบการกู้คืนที่สำเร็จ และต้องมีการรีสตาร์ทระบบตามมาตรฐาน
- บล็อกเซิร์ฟเวอร์ Command and Control (C2) ที่ระบุไว้เพื่อเพิ่มความปลอดภัย
Long Term:
Share this content: