2026年1月20日,安全研究人员确认了一起针对MicroWorld Technologies公司eScan杀毒产品的严重供应链攻击事件。黑客疑似利用厂商合法的更新通道,向用户推送了恶意更新。
根据Morphisec威胁实验室今日发布的研究报告,此次事件导致多阶段恶意软件被分发给全球范围内的企业和个人用户终端。
据悉,这些恶意更新包使用了被盗的eScan代码签名证书进行数字签名,这使得它们看起来合法,轻易绕过了系统常规的信任验证机制。恶意软件一旦成功部署,便会建立持久化驻留,开启远程访问功能,并会主动阻止受感染主机接收任何后续的更新。
多阶段恶意软件内置反清除机制
整个攻击链始于一个被植入了木马的32位eScan程序,该程序在软件更新过程中替换了原有的正常组件。此初始载荷会释放更多恶意模块,包括一个下载器和一个能为攻击者提供受感染系统完全控制权的64位后门。本次攻击活动一个至关重要的特征是恶意软件内置了反清除机制。它通过修改Windows系统的hosts文件并篡改eScan相关注册表项,阻断了终端与eScan官方更新服务器的连接。这使得受感染的设备无法自动获取修复补丁。
恶意软件通过创建伪装成Windows磁盘碎片整理任务的计划任务,以及使用随机生成的GUID名称的注册表项来实现持久化。同时,下载器模块还会尝试与外部命令与控制(C2)服务器通信以获取更多攻击载荷,不过这些C2服务器的当前状态尚未明确。
检测、响应与处置建议
Morphisec称,其在恶意软件开始分发后的数小时内,就在部署了其防护方案的客户系统上检测并拦截了相关恶意活动。
据称,Morphisec在事发当日便联系了MicroWorld Technologies。eScan方面则表示,其通过内部监控发现了异常,在一小时内隔离了受影响的基础设施,并将全球更新系统离线了超过八小时以进行处理。
然而,Morphisec指出,尽管厂商声称已通过电话直接通知客户,但其客户仍需主动联系eScan技术支持才能获得具体的修复方案。
Infosecurity网站已就此事联系eScan寻求置评,但截至发稿前未获回复。Morphisec建议所有使用eScan产品的组织立即采取以下应对措施:
·在终端上搜索已知的恶意文件哈希值。
·检查Windows\Defrag\目录下的计划任务,排查可疑项。
·审查注册表中那些包含编码数据、以GUID格式命名的键值。
·封锁已识别的C2域名。
·立即吊销对涉事被盗eScan代码签名证书的信任。
对于未部署有效防护的系统,建议直接假定其已遭入侵,立即隔离受感染设备并进行全面的取证分析。截至本文发布,eScan官方尚未就此事件发布公开安全公告,相关调查据称仍在进行中。
消息来源:infosecurity-magazine.com:
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容