Главная страница » Индикаторы компрометации
0
6 часов
Индикаторы компрометации

Критическая уязвимость в цепочке поставок: Вредоносное обновление антивируса eScan поставило под угрозу пользователей по всему миру

information security

20 января 2026 года специалисты компании Morphisec, занимающейся превентивной кибербезопасностью, обнаружили активную атаку на цепочку поставок. Целью атаки стал популярный антивирусный продукт eScan, разрабатываемый индийской компанией MicroWorld Technologies. В результате скомпрометированной инфраструктуры обновлений вредоносное программное обеспечение распространялось среди корпоративных и частных пользователей по всему миру под видом легитимных патчей безопасности.

Описание

Атака началась 20 января, когда через официальные серверы обновлений eScan был распространен злонамеренный пакет. Этот пакет заменял собой критически важный системный файл Reload.exe. Сразу после этого механизмы защиты Morphisec начали обнаруживать и блокировать подозрительную активность на конечных точках своих клиентов. Уже на следующий день, 21 января, исследователи связались с MicroWorld Technologies, чтобы сообщить об инциденте.

Представители eScan заявили, что также обнаружили аномалию с помощью внутреннего мониторинга. По их словам, им удалось изолировать затронутый региональный сервер обновлений в течение часа и полностью отключить глобальную систему обновлений более чем на восемь часов для проведения расследования. Разработчики классифицировали произошедшее не как эксплуатацию уязвимости в коде, а как несанкционированный доступ к инфраструктуре. Злоумышленникам удалось загрузить на сервер троянизированный файл с поддельной цифровой подписью.

Многоэтапная вредоносная нагрузка (payload) была спроектирована с высокой степенью живучести и скрытности. После первоначального выполнения замененный файл Reload.exe сбрасывал на диск загрузчик следующей стадии - файл CONSCTLX.exe. Этот загрузчик, в свою очередь, предпринимал ряд действий для обеспечения постоянного присутствия в системе (persistence) и обхода защитных механизмов. В частности, он создавал задание в Планировщике задач Windows с именем, маскирующимся под легитимный процесс, например, CorelDefrag.

Одной из ключевых и наиболее опасных функций вредоносного программного обеспечения было вмешательство в работу самого антивируса eScan. Зловред намеренно вносил изменения в системный реестр Windows и критически важный файл hosts, блокируя домены, используемые для обновлений eScan. Это действие не только лишало антивирус возможности получать исправления, но и нарушало его нормальную работу, вызывая ошибки в службе обновления. Таким образом, атака целенаправленно выводила из строя основной инструмент защиты на зараженном компьютере, делая систему уязвимой для дальнейших атак.

Кроме того, вредоносное программное обеспечение устанавливало связь с инфраструктурой командования и управления. Это позволяло злоумышленникам удаленно загружать и выполнять дополнительные произвольные вредоносные модули на скомпрометированных машинах. Потенциальный ущерб от такой бэкдор-функциональности мог быть значительным, включая кражу данных или развертывание программ-вымогателей.

Важнейшим выводом для пользователей стало то, что автоматическое исправление проблемы для уже зараженных систем невозможно. Вредоносная программа намеренно саботировала механизмы самовосстановления антивируса. Следовательно, большинству пострадавших организаций и частных лиц пришлось самостоятельно обращаться в службу технической поддержки eScan для получения специальной утилиты ручного восстановления. Эта утилита удаляет вредоносные компоненты, откатывает внесенные ими изменения и возвращает антивирусу полную функциональность.

Для проверки систем на предмет компрометации эксперты рекомендуют провести несколько действий. Следует тщательно изучить задания в Планировщике задач Windows на наличие подозрительных элементов, проверить файл hosts на предмет блокировки доменов eScan, а также проанализировать логи обновлений антивируса за 20 января 2026 года. Дополнительной мерой безопасности является блокировка на сетевом уровне известных индикаторов компрометации, таких как адреса C2-серверов, опубликованные исследовательскими группами.

Этот инцидент в очередной раз подчеркивает критическую важность безопасности цепочек поставок программного обеспечения, особенно когда речь идет о продуктах, которым изначально доверяют вопросы защиты. Атаки через легитимные каналы обновлений представляют собой серьезную угрозу, поскольку они обходят традиционные модели доверия.

Индикаторы компрометации

IPv4

  • 185.241.208.115

Domains

  • 504e1a42.host.njalla.net

URLs

  • https://airanks.hns.to
  • https://blackice.sol-domain.org
  • https://codegiant.io/dd/dd/dd.git/download/main/middleware.ts
  • https://csc.biologii.net/sooc
  • https://tumama.hns.to
  • https://vhs.delrosal.net/i

Thumbprint

  • 76B0D9D51537DA06707AFA97B4AE981ED6D03483

SHA256

  • 36ef2ec9ada035c56644f677dab65946798575e1d8b14f1365f22d7c68269860
  • 386a16926aff225abc31f73e8e040ac0c53fb093e7daf3fbd6903c157d88958c
  • 674943387cc7e0fd18d0d6278e6e4f7a0f3059ee6ef94e0976fae6954ffd40dd
  • bec369597633eac7cc27a698288e4ae8d12bdd9b01946e73a28e1423b17252b1
Комментарии: 0
Похожие записи
0
04.08.2023
Индикаторы компрометации

Lokibot Stealer IOCs - Part 8

Stealer
LokiBot - это инфопохититель, впервые появившийся в 2016 году и сохраняющий свою активность по сей день. Он предназначен для кражи учетных данных из различных приложений, таких как браузеры, FTP-клиенты и другие.
0
19.08.2025
Индикаторы компрометации

Целевые атаки Noodlophile Stealer на бизнес: фишинг с уведомлениями о нарушении авторских прав

Stealer
Зловредная программа Noodlophile Stealer, ранее распространявшаяся через поддельные платформы генерации видео на основе искусственного интеллекта, перешла на новый уровень угрозы.