โครงสร้างพื้นฐานการอัปเดตของ eScan Antivirus ซึ่งเป็นโซลูชันความปลอดภัยจาก MicroWorld Technologies ถูกโจมตีโดยผู้ไม่ประสงค์ดี เพื่อส่งมัลแวร์หลายขั้นตอนไปยังระบบขององค์กรและผู้ใช้งานทั่วโลก การโจมตีนี้เกิดขึ้นเป็นเวลาจำกัดประมาณสองชั่วโมงเมื่อวันที่ 20 มกราคม 2026 ผ่านการอัปเดตที่เป็นอันตรายที่เผยแพร่ผ่านโครงสร้างพื้นฐานที่ถูกต้องตามกฎหมายของ eScan MicroWorld Technologies ได้ตรวจพบการเข้าถึงโดยไม่ได้รับอนุญาตและได้ดำเนินการแก้ไขโดยการแยกเซิร์ฟเวอร์ที่ได้รับผลกระทบและออกแพตช์เพื่อย้อนกลับการเปลี่ยนแปลงที่เป็นอันตราย ลูกค้าที่ได้รับผลกระทบส่วนใหญ่อยู่ในอินเดีย บังกลาเทศ ศรีลังกา และฟิลิปปินส์
Severity: วิกฤต
System Impact:
- โครงสร้างพื้นฐานเซิร์ฟเวอร์อัปเดตของ eScan Antivirus
- ระบบปลายทางขององค์กรและผู้บริโภค (โดยเฉพาะในอินเดีย, บังกลาเทศ, ศรีลังกา, ฟิลิปปินส์)
- Windows Antimalware Scan Interface (AMSI)
- ไฟล์ HOSTS ของระบบ
- กลไกการอัปเดตผลิตภัณฑ์ eScan
Technical Attack Steps:
- ผู้โจมตีเข้าถึงการกำหนดค่าเซิร์ฟเวอร์อัปเดตภูมิภาคของ eScan โดยไม่ได้รับอนุญาต
- มีการแจกจ่ายไฟล์อัปเดตที่ “เสียหาย” ผ่านโครงสร้างพื้นฐานการอัปเดตที่ถูกต้องของ eScan
- ไฟล์ Reload.exe ที่เป็นอันตรายถูกส่งไปยังระบบ แทนที่ไฟล์ที่ถูกต้อง
- Reload.exe ตรวจสอบเส้นทางที่ถูกเรียกใช้งาน และใช้เครื่องมือ UnmanagedPowerShell พร้อมความสามารถในการข้าม AMSI เพื่อรันสคริปต์ PowerShell ที่เข้ารหัส Base64
- สคริปต์ PowerShell ชุดแรกจะแก้ไขโซลูชัน eScan เพื่อป้องกันการอัปเดตและการตรวจจับส่วนประกอบที่เป็นอันตราย รวมถึงข้าม Windows AMSI
- มีการตรวจสอบเหยื่อโดยการตรวจจับเครื่องมือวิเคราะห์และโซลูชันความปลอดภัยที่อยู่ในบัญชีดำ หากพบจะไม่ส่งเพย์โหลดเพิ่มเติม
- หากการตรวจสอบผ่าน สคริปต์ PowerShell จะติดต่อเซิร์ฟเวอร์ภายนอกเพื่อดาวน์โหลดเพย์โหลดเพิ่มเติม คือ CONSCTLX.exe และมัลแวร์ PowerShell ตัวที่สอง
- CONSCTLX.exe จะแทนที่ส่วนประกอบ eScan ที่ถูกต้อง และเรียกใช้มัลแวร์ PowerShell ที่ดาวน์โหลดมา
- CONSCTLX.exe ยังเปลี่ยนเวลาการอัปเดตล่าสุดของผลิตภัณฑ์ eScan เพื่อให้ดูเหมือนว่าการทำงานเป็นปกติ
- มัลแวร์ PowerShell ตัวที่สองจะดำเนินการตรวจสอบความถูกต้องของเหยื่ออีกครั้ง จากนั้นส่งคำขอ HTTP ไปยังโครงสร้างพื้นฐานที่ควบคุมโดยผู้โจมตีเพื่อรับเพย์โหลด PowerShell เพิ่มเติมสำหรับการดำเนินการต่อไปผ่าน Scheduled Task
Recommendations:
Short Term:
- ติดต่อ MicroWorld Technologies ทันทีเพื่อรับและติดตั้งแพตช์ที่แก้ไขปัญหา
- แยกระบบที่ได้รับผลกระทบออกจากเครือข่าย
- ตรวจสอบระบบเพื่อหาสัญญาณของ Reload.exe และ CONSCTLX.exe ที่อาจถูกเซ็นชื่อดิจิทัลปลอม
- ตรวจสอบไฟล์ HOSTS สำหรับการแก้ไขที่เกี่ยวข้องกับการอัปเดต eScan
Long Term:
- ใช้มาตรการความปลอดภัยในซัพพลายเชนที่เข้มงวดสำหรับซอฟต์แวร์ทั้งหมด รวมถึงโซลูชันความปลอดภัย
- เสริมสร้างความสามารถในการตรวจจับและตอบสนองที่ปลายทาง (EDR) เพื่อตรวจจับพฤติกรรมที่ผิดปกติ แม้กระทั่งจากกระบวนการอัปเดตที่ดูเหมือนถูกต้องตามกฎหมาย
- ทบทวนและตรวจสอบการกำหนดค่าเซิร์ฟเวอร์อัปเดตและการควบคุมการเข้าถึงอย่างสม่ำเสมอ
- บังคับใช้การตรวจสอบลายเซ็นดิจิทัลที่แข็งแกร่งสำหรับการอัปเดตทั้งหมด
- ดำเนินการสอบสวนภายในอย่างละเอียดเพื่อทำความเข้าใจสาเหตุหลักของการเข้าถึงโดยไม่ได้รับอนุญาต
- แบ่งแยกเครือข่ายเพื่อจำกัดการแพร่กระจายของมัลแวร์ในกรณีที่มีการละเมิด
- ทบทวนและเสริมสร้างแผนการตอบสนองต่อเหตุการณ์ โดยเฉพาะสำหรับการประนีประนอมซัพพลายเชน
Source: https://thehackernews.com/2026/02/escan-antivirus-update-servers.html
Share this content: