رخنه به سرورهای به‌روزرسانی eScan Antivirus

در یکی از کم‌سابقه‌ترین رخدادهای امنیتی زنجیره تأمین، زیرساخت به‌روزرسانی آنتی‌ویروس eScan، محصول شرکت هندی میکروولد تکنولوژیز (MicroWorld Technologies)، توسط مهاجمان ناشناس مورد نفوذ قرار گرفته و برای توزیع بدافزار چندمرحله‌ای (Multi-Stage Malware) علیه سیستم‌های سازمانی و خانگی مورد سوءاستفاده قرار گرفته است.

توزیع بدافزار از طریق کانال رسمی به‌روزرسانی

به‌روزرسانی‌های مخرب از طریق زیرساخت رسمی و قانونی eScan توزیع شده‌اند که در نهایت منجر به نصب یک دانلودر پایدار روی اندپوینت‌ها در سطح جهانی شده است.

شناسایی نفوذ و اقدامات فوری

میکروولد تکنولوژیز اعلام کرده که پس از شناسایی دسترسی غیرمجاز به زیرساخت خود، بلافاصله سرورهای به‌روزرسانی آسیب‌دیده را ایزوله کرده است. این سرورها بیش از هشت ساعت از دسترس خارج بوده‌اند. همچنین یک اصلاحیه امنیتی منتشر شده که تغییرات اعمال‌شده توسط به‌روزرسانی مخرب را بازگردانی می‌کند. به سازمان‌های آسیب‌دیده توصیه شده است برای دریافت اصلاحیه با شرکت میکروولد تکنولوژیز تماس بگیرند.

حمله محدود اما هدفمند

بر اساس اعلام رسمی شرکت، این حمله ناشی از نفوذ به پیکربندی یکی از سرورهای منطقه‌ای به‌روزرسانی بوده و تنها در یک بازه زمانی محدود، حدود دو ساعت در تاریخ ۲۰ ژانویه ۲۰۲۶، منجر به توزیع یک به‌روزرسانی «خراب‌شده» برای بخشی از مشتریان شده است.

در اطلاعیه‌ای که در ۲۲ ژانویه ۲۰۲۶ منتشر شد، اعلام شده:

«اختلال موقتی در سرویس به‌روزرسانی eScan از ۲۰ ژانویه ۲۰۲۶ آغاز شد و تنها بخشی از مشتریانی را تحت تأثیر قرار داد که در بازه زمانی مشخصی و از یک کلاستر خاص، به‌روزرسانی خودکار دریافت می‌کردند.»

جزئیات فنی بدافزار

Payload مخرب عملکرد عادی آنتی‌ویروس را مختل کرده و عملاً فرآیند اصلاح خودکار (Remediation) را از کار می‌اندازد.

در این حمله، فایل مخربی به نام Reload.exe توزیع شده که وظیفه آن نصب یک دانلودر با قابلیت‌های زیر است:

   – ایجاد ماندگاری (Persistence)

   – مسدود کردن به‌روزرسانی‌های بعدی

   – ارتباط با سرور خارجی برای دریافت کدهای Payload بیشتر، از جمله CONSCTLX.exe

   – اجرای PowerShell و بررسی قربانی

Reload.exe سه اسکریپت PowerShell رمزگذاری‌شده با Base64 را اجرا می‌کند که اهداف زیر را دنبال می‌کنند:

   – دستکاری eScan برای جلوگیری از شناسایی بدافزار

   – دور زدن سازوکار امنیتی AMSI

   – بررسی اینکه سیستم قربانی ارزش آلودگی بیشتر را دارد یا خیر

در مرحله اعتبارسنجی، لیستی از نرم‌افزارها، پردازش‌ها و سرویس‌ها بررسی می‌شود.

مراحل بعدی آلودگی

در صورت تأیید قربانی، بدافزار:

   – با سرور مهاجم ارتباط برقرار می‌کند

   – فایل CONSCTLX.exe و یک بدافزار PowerShell دیگر دریافت می‌کند

   – از طریق Scheduled Task آن را اجرا می‌کند

CONSCTLX.exe همچنین زمان آخرین به‌روزرسانی eScan را در فایل Eupdate.ini به‌صورت جعلی به زمان فعلی تغییر می‌دهد تا ابزار سالم به نظر برسد.

گستره جغرافیایی حمله

گفته می‌شود بیشترین موارد در کشورهای هند، بنگلادش، سریلانکا و فیلیپین مشاهده شده است.

جمع‌بندی

تحلیل‌گران معتقدند مهاجمان شناخت عمیقی از معماری داخلی eScan و مکانیزم به‌روزرسانی آن داشته‌اند. نحوه دسترسی اولیه به سرور به‌روزرسانی هنوز مشخص نیست.

این رخداد بار دیگر نشان می‌دهد که حتی ابزارهای امنیتی نیز می‌توانند به نقطه ورود حملات پیشرفته زنجیره تأمین تبدیل شوند و اعتماد مطلق به به‌روزرسانی‌های خودکار نیازمند بازنگری جدی است.

 
 

 

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *