Атаки на цепочки поставок программного обеспечения остаются одним из наиболее опасных векторов кибервторжений, позволяя злоумышленникам массово поражать организации через доверенные каналы. Наглядным примером этой тенденции стала недавняя компрометация легитимного механизма обновлений антивирусного продукта eScan от компании MicroWorld Technologies. В результате вредоносное обновление, распространявшееся с официального сервера, развернуло на устройствах пользователей сложный многоэтапный загрузчик, который для связи с операторами использовал инновационную инфраструктуру на основе блокчейна. Этот инцидент демонстрирует, как современные угрозы обходят традиционные средства защиты, маскируясь под легитимную активность.
Описание
Инцидент произошёл 20 января 2026 года, когда в течение двухчасового окна региональные серверы обновлений eScan распространяли клиентам скомпрометированный пакет. Согласно официальному заявлению компании, причиной стало несанкционированное проникновение на один из региональных серверов, приведшее к размещению в пути распространения обновлений "некорректного файла". Пользователи затронутых серверов, преимущественно из региона EMEA, после установки обновления столкнулись с ошибками в работе антивируса. Однако настоящая угроза была скрыта глубже: вместо легитимного патча на устройства загружался вредоносный 32-битный исполняемый файл "Reload.exe", который, в свою очередь, устанавливал 64-битный загрузчик "CONSCTLX.exe".
Этот загрузчик действовал методично, обеспечивая своё закрепление в системе. Он создавал запланированные задачи, такие как "CorelDefrag", для выполнения скриптов PowerShell, а также вносил изменения в системный файл HOSTS и реестр Windows, связанный с eScan. Целью этих манипуляций было блокирование будущих корректных удалённых обновлений, которые могли бы устранить проблему. После этого этапа загрузчик начинал связываться с командным сервером злоумышленников для получения дополнительных вредоносных модулей. Особенностью данной атаки стало использование злоумышленниками нестандартной инфраструктуры для управления, построенной на технологии блокчейна, что значительно усложняло её отслеживание и блокировку.
Аналитики Darktrace, наблюдавшие аномальную активность в сетях клиентов в день инцидента, зафиксировали, что после загрузки .dlz пакетов с серверов eScan устройства начали обращаться к подозрительному эндпоинту vhs.delrosal[.]net. Этот сервер использовал самоподписанный SSL-сертификат с тестовыми данными, что часто служит индикатором вредоносной инфраструктуры. Однако настоящей изюминкой атаки стало применение доменов в зоне .sol, связанных с открытым блокчейном Solana. Эти домены, являющиеся читаемыми псевдонимами для адресов криптокошельков, не разрешаются браузерами по умолчанию. Для доступа к ним злоумышленники использовали прокси-сервисы, такие как sol-domain[.]org.
В наблюдаемой активности устройства пытались соединиться с blackice.sol-domain[.]org, что указывало на использование блокчейна в качестве так называемого "мёртвого почтового ящика". Эта техника командования и управления подразумевает размещение инструкций на публичном и легитимном сервисе, таком как блокчейн. Прозрачность реестра Solana позволила аналитикам установить, что домен blackice[.]sol был создан 7 ноября 2025 года, что совпадает с датой регистрации упомянутого C2-сервера vhs[.]delrosal[.]net. В последующих транзакциях в блокчейне обнаруживались строки, перенаправляющие устройства на этот вредоносный эндпоинт, а также инструкции по его смене. Помимо Solana, в активности отмечалось использование доменов, связанных с другим децентрализованным протоколом - Handshake, через сервис hns[.]to.
Все исходящие соединения к этим эндпоинтам были оценены системой Darktrace / NETWORK как стопроцентно редкие и аномальные как для конкретных устройств, так и для всей сети в целом, что типично для зловредного маячения. Искусственный интеллект платформы смог скомпилировать разрозненные события в целостную картину атаки, предоставив командам безопасности клиентов возможность для эффективного расследования. В тех окружениях, где была активна функция автономного реагирования, система автоматически блокировала подозрительные соединения, даже если они были направлены на домены, ассоциированные с легитимными сервисами.
Этот инцидент наглядно иллюстрирует ключевые тенденции в развитии угроз. Во-первых, массовое развёртывание такого ПО, как антивирусы, превращает единичную компрометацию канала обновлений в масштабную проблему, резко расширяя поверхность атаки. Во-вторых, злоумышленники активно эксплуатируют доверие к легитимному софту, активность от которого часто исключается из проверок. В-третьих, наблюдается рост изощрённости в построении отказоустойчивой инфраструктуры управления, где в ход идут децентрализованные технологии вроде блокчейна для усложнения атрибуции и блокировки. Защита от подобных атак требует смещения фокуса с простого сравнения с чёрными списками на постоянный мониторинг аномального поведения сетевых сущностей, независимо от репутации источника трафика.
Индикаторы компрометации
IPv4
- 96.9.125.243
Domains
- blackice.sol-domain.org
- tumama.hns.to
- vhs.delrosal.net
