杀毒软件 eScan 更新服务器遭入侵,它遭受到了1次高危供应链网络攻击
防病毒软件开发商 MicroWorld Technologies 证实,其 eScan 产品的更新服务器在 1月29日 遭到入侵。
eScan表示,受影响的基础设施已被隔离和重建,认证证书已被轮换,并且已向受影响的客户提供补救措施。
攻击者利用该渠道向部分客户推送了包含恶意代码的“安全更新”。
安全公司Morphisec单独发布了一份技术报告,分析了在客户终端上观察到的恶意活动,并将其与同期eScan更新基础设施提供的更新相关联。
Morphisec表示,它在2026年1月20日检测到恶意活动,后来联系了eScan。MicroWorld Technologies告诉BleepingComputer,它质疑Morphisec的说法,即它是第一个发现或报告该事件的公司。
据eScan称,该公司于1月20日通过监控和客户报告在内部发现了该问题,在数小时内隔离了受影响的基础设施,并于1月21日发布了安全建议。埃斯坎说,Morphisec在发表了关于该事件的公开声明后,后来联系了该公司。
eScan还对受影响的客户不知道该问题的说法提出质疑,称其在补救措施最终完成时主动通知并直接联系受影响的客户。
更新基础设施遭到破坏
在其公告中,eScan将该事件归类为更新基础架构访问事件,声明对区域更新服务器配置的未授权访问允许将未授权的文件放置在更新分发路径中。
“对我们的一个区域更新服务器配置的未经授权的访问导致了一个不正确的文件(补丁配置二进制/损坏的更新)被放置在更新分发路径中,”MicroWorld Technologies与BleepingComputer共享的一份咨询报告中写道。
此文件已于2026年1月20日在有限的时间段内分发给从受影响的服务器群集下载更新的客户
该公司强调,该事件不涉及eScan产品本身的漏洞。
eScan强调,只有那些从特定区域集群更新软件的客户受到影响,而所有其他客户不受影响。
然而,eScan说,那些安装了恶意更新的人可能已经在他们的系统上看到了这种行为:
更新服务失败通知
修改的系统主机文件阻止了与eScan更新服务器的连接
eScan更新配置文件修改
无法接收新的安全定义更新
更新客户端计算机上的不可用性弹出窗口
BleepingComputer联系了eScan,就其系统最初被入侵的时间提出了进一步的问题,如果我们收到回复,将更新这个故事。
部署更新以推送恶意软件
Morphisec的安全公告称,恶意更新推下了一个eScan更新组件的修改版本“Reload.exe”。
“恶意更新通过eScan的合法更新基础设施进行分发,导致多阶段恶意软件在全球范围内部署到企业和消费者终端,”Morphisec的公告中写道。
虽然修改后的Reload.exe似乎是用eScan的代码签名证书签名的,但Windows和VirusTotal都显示该签名无效。
根据Morphisec的说法,Reload.exe文件[VirusTotal]被用于启用持久性、执行命令、修改Windows HOSTS文件以阻止远程更新,以及连接到C2基础架构以下载更多有效载荷。
这是一种典型的高危供应链攻击,专家建议所有 eScan 用户立即断网并等待官方的手动修复指南。
eScan创建了一个补救更新,客户可以运行该更新来执行以下操作:
自动识别并纠正不正确的修改
重新启用正确的eScan更新功能
验证成功恢复
需要标准系统重启
eScan和Morphisec都建议客户屏蔽上述命令和控制服务器,以增加安全性。
2024年,观察到朝鲜黑客利用eScan防病毒的更新机制在企业网络上植入后门。
攻击者利用该渠道向部分客户推送了包含恶意代码的“安全更新”。
安全公司Morphisec单独发布了一份技术报告,分析了在客户终端上观察到的恶意活动,并将其与同期eScan更新基础设施提供的更新相关联。
Morphisec表示,它在2026年1月20日检测到恶意活动,后来联系了eScan。MicroWorld Technologies告诉BleepingComputer,它质疑Morphisec的说法,即它是第一个发现或报告该事件的公司。
据eScan称,该公司于1月20日通过监控和客户报告在内部发现了该问题,在数小时内隔离了受影响的基础设施,并于1月21日发布了安全建议。埃斯坎说,Morphisec在发表了关于该事件的公开声明后,后来联系了该公司。
eScan还对受影响的客户不知道该问题的说法提出质疑,称其在补救措施最终完成时主动通知并直接联系受影响的客户。
更新基础设施遭到破坏
在其公告中,eScan将该事件归类为更新基础架构访问事件,声明对区域更新服务器配置的未授权访问允许将未授权的文件放置在更新分发路径中。
“对我们的一个区域更新服务器配置的未经授权的访问导致了一个不正确的文件(补丁配置二进制/损坏的更新)被放置在更新分发路径中,”MicroWorld Technologies与BleepingComputer共享的一份咨询报告中写道。
此文件已于2026年1月20日在有限的时间段内分发给从受影响的服务器群集下载更新的客户
该公司强调,该事件不涉及eScan产品本身的漏洞。
eScan强调,只有那些从特定区域集群更新软件的客户受到影响,而所有其他客户不受影响。
然而,eScan说,那些安装了恶意更新的人可能已经在他们的系统上看到了这种行为:
更新服务失败通知
修改的系统主机文件阻止了与eScan更新服务器的连接
eScan更新配置文件修改
无法接收新的安全定义更新
更新客户端计算机上的不可用性弹出窗口
BleepingComputer联系了eScan,就其系统最初被入侵的时间提出了进一步的问题,如果我们收到回复,将更新这个故事。
部署更新以推送恶意软件
Morphisec的安全公告称,恶意更新推下了一个eScan更新组件的修改版本“Reload.exe”。
“恶意更新通过eScan的合法更新基础设施进行分发,导致多阶段恶意软件在全球范围内部署到企业和消费者终端,”Morphisec的公告中写道。
虽然修改后的Reload.exe似乎是用eScan的代码签名证书签名的,但Windows和VirusTotal都显示该签名无效。
根据Morphisec的说法,Reload.exe文件[VirusTotal]被用于启用持久性、执行命令、修改Windows HOSTS文件以阻止远程更新,以及连接到C2基础架构以下载更多有效载荷。
这是一种典型的高危供应链攻击,专家建议所有 eScan 用户立即断网并等待官方的手动修复指南。
eScan创建了一个补救更新,客户可以运行该更新来执行以下操作:
自动识别并纠正不正确的修改
重新启用正确的eScan更新功能
验证成功恢复
需要标准系统重启
eScan和Morphisec都建议客户屏蔽上述命令和控制服务器,以增加安全性。
2024年,观察到朝鲜黑客利用eScan防病毒的更新机制在企业网络上植入后门。
关于作者
评论0次