در یکی از کمسابقهترین رخدادهای امنیتی زنجیره تأمین، زیرساخت بهروزرسانی آنتیویروس eScan، محصول شرکت هندی میکروولد تکنولوژیز (MicroWorld Technologies)، توسط مهاجمان ناشناس مورد نفوذ قرار گرفته و برای توزیع بدافزار چندمرحلهای (Multi-Stage Malware) علیه سیستمهای سازمانی و خانگی مورد سوءاستفاده قرار گرفته است.
توزیع بدافزار از طریق کانال رسمی بهروزرسانی
بهروزرسانیهای مخرب از طریق زیرساخت رسمی و قانونی eScan توزیع شدهاند که در نهایت منجر به نصب یک دانلودر پایدار روی اندپوینتها در سطح جهانی شده است.
شناسایی نفوذ و اقدامات فوری
میکروولد تکنولوژیز اعلام کرده که پس از شناسایی دسترسی غیرمجاز به زیرساخت خود، بلافاصله سرورهای بهروزرسانی آسیبدیده را ایزوله کرده است. این سرورها بیش از هشت ساعت از دسترس خارج بودهاند. همچنین یک اصلاحیه امنیتی منتشر شده که تغییرات اعمالشده توسط بهروزرسانی مخرب را بازگردانی میکند. به سازمانهای آسیبدیده توصیه شده است برای دریافت اصلاحیه با شرکت میکروولد تکنولوژیز تماس بگیرند.
حمله محدود اما هدفمند
بر اساس اعلام رسمی شرکت، این حمله ناشی از نفوذ به پیکربندی یکی از سرورهای منطقهای بهروزرسانی بوده و تنها در یک بازه زمانی محدود، حدود دو ساعت در تاریخ ۲۰ ژانویه ۲۰۲۶، منجر به توزیع یک بهروزرسانی «خرابشده» برای بخشی از مشتریان شده است.
در اطلاعیهای که در ۲۲ ژانویه ۲۰۲۶ منتشر شد، اعلام شده:
«اختلال موقتی در سرویس بهروزرسانی eScan از ۲۰ ژانویه ۲۰۲۶ آغاز شد و تنها بخشی از مشتریانی را تحت تأثیر قرار داد که در بازه زمانی مشخصی و از یک کلاستر خاص، بهروزرسانی خودکار دریافت میکردند.»
جزئیات فنی بدافزار
Payload مخرب عملکرد عادی آنتیویروس را مختل کرده و عملاً فرآیند اصلاح خودکار (Remediation) را از کار میاندازد.
در این حمله، فایل مخربی به نام Reload.exe توزیع شده که وظیفه آن نصب یک دانلودر با قابلیتهای زیر است:
– ایجاد ماندگاری (Persistence)
– مسدود کردن بهروزرسانیهای بعدی
– ارتباط با سرور خارجی برای دریافت کدهای Payload بیشتر، از جمله CONSCTLX.exe
– اجرای PowerShell و بررسی قربانی
Reload.exe سه اسکریپت PowerShell رمزگذاریشده با Base64 را اجرا میکند که اهداف زیر را دنبال میکنند:
– دستکاری eScan برای جلوگیری از شناسایی بدافزار
– دور زدن سازوکار امنیتی AMSI
– بررسی اینکه سیستم قربانی ارزش آلودگی بیشتر را دارد یا خیر
در مرحله اعتبارسنجی، لیستی از نرمافزارها، پردازشها و سرویسها بررسی میشود.
مراحل بعدی آلودگی
در صورت تأیید قربانی، بدافزار:
– با سرور مهاجم ارتباط برقرار میکند
– فایل CONSCTLX.exe و یک بدافزار PowerShell دیگر دریافت میکند
– از طریق Scheduled Task آن را اجرا میکند
CONSCTLX.exe همچنین زمان آخرین بهروزرسانی eScan را در فایل Eupdate.ini بهصورت جعلی به زمان فعلی تغییر میدهد تا ابزار سالم به نظر برسد.
گستره جغرافیایی حمله
گفته میشود بیشترین موارد در کشورهای هند، بنگلادش، سریلانکا و فیلیپین مشاهده شده است.
جمعبندی
تحلیلگران معتقدند مهاجمان شناخت عمیقی از معماری داخلی eScan و مکانیزم بهروزرسانی آن داشتهاند. نحوه دسترسی اولیه به سرور بهروزرسانی هنوز مشخص نیست.
این رخداد بار دیگر نشان میدهد که حتی ابزارهای امنیتی نیز میتوانند به نقطه ورود حملات پیشرفته زنجیره تأمین تبدیل شوند و اعتماد مطلق به بهروزرسانیهای خودکار نیازمند بازنگری جدی است.