20 січня 2026 року індійський вендор MicroWorld Technologies, розробник антивіруса eScan, повідомив про типову, але небезпечну атаку на ланцюг постачання (supply chain-атаку). Зловмисникам вдалося скомпрометувати один із регіональних серверів оновлень і розповсюдити через нього шкідливе оновлення серед частини клієнтів, чиї системи у певний проміжок часу підключалися саме до цього кластера.
Компрометація сервера оновлень eScan та реакція MicroWorld
За офіційною інформацією MicroWorld, після виявлення підозрілої активності інфраструктуру ураженого сервера було негайно ізольовано від решти мережі. Компанія повністю відбудувала скомпрометований сегмент, замінила всі облікові дані та з нуля розгорнула конфігурацію сервера оновлень, щоби мінімізувати ризик повторного несанкціонованого доступу.
Паралельно вендор випустив спеціальну утиліту для постраждалих клієнтів. Інструмент автоматично виявляє сліди компрометації, видаляє шкідливі компоненти, відновлює коректний механізм оновлень eScan і вимагає перезавантаження системи для завершення очищення.
Технічні деталі supply chain-атаки на eScan
Компанія Morphisec опублікувала власний технічний розбір інциденту, класифікувавши його як критичну компрометацію ланцюга постачання ПЗ. За її даними, зловмисники отримали доступ до конфігурації регіонального сервера оновлень та підмінили легітимний файл оновлення на навмисно підготовлений шкідливий компонент.
Ключовим елементом атаки став модифікований компонент Reload.exe. Файл був підписаний сертифікатом eScan, що мало створювати враження легітимного оновлення. Водночас і Windows, і сервіс VirusTotal ідентифікували підпис як невалідний. Це важливий сигнал: наявність цифрового підпису ще не гарантує безпечність файлу, якщо сертифікат скомпрометовано або він використовується неправильно.
Функціональність шкідливого Reload.exe та бекдор CONSCTLX.exe
За описом Morphisec, шкідлива версія Reload.exe забезпечувала закріплення атакувальників у системі і дозволяла виконувати довільні команди операторів. Окремо компонент змінював системний файл HOSTS у Windows, додаючи записи, що блокували доступ до серверів оновлення eScan. Таким чином, користувачі не могли отримати виправлені оновлення, а виявлення інциденту суттєво ускладнювалось.
Компрометований Reload.exe встановлював зв’язок із командно-контрольною (C2) інфраструктурою зловмисників та завантажував додаткові корисні навантаження. Фінальним пейлоадом виступав файл CONSCTLX.exe — повноцінний бекдор, який працював як постійний завантажувач шкідливого коду. Для збереження присутності в системі малварь створювала заплановані завдання з маскувальними назвами на кшталт «CorelDefrag», що ускладнювало візуальне виявлення при поверхневому аудиті.
Ознаки компрометації для користувачів eScan
Користувачі, які потрапили під атаку, могли спостерігати низку характерних симптомів. Серед них:
— збої служби оновлень eScan і постійні помилки завантаження сигнатур;
— повторювані сповіщення про недоступність серверів оновлень;
— неочікувані зміни у файлі HOSTS (нові записи, пов’язані з доменами eScan);
— невідомі або підозрілі заплановані завдання у Windows.
Комбінація цих ознак є вагомою підставою для негайної перевірки робочих станцій, запуску офіційної утиліти очищення та звернення до технічної підтримки вендора.
Спір MicroWorld і Morphisec: хто першим виявив атаку
Важливою складовою інциденту став інформаційний конфлікт між MicroWorld Technologies та Morphisec. Представники eScan заперечують твердження Morphisec про те, що саме сторонні дослідники першими виявили атаку. За словами MicroWorld, аномалії були зафіксовані внутрішніми засобами моніторингу й зверненнями клієнтів, а Morphisec вийшла на контакт уже після публікації попереджень у блозі компанії та соціальних мережах.
MicroWorld також відкидає припущення, що частина користувачів могла не дізнатися про проблему. За заявою вендора, клієнтів проактивно інформували через e‑mail, WhatsApp, телефонні дзвінки та портал підтримки. Компанія публічно заявила про намір залучити юристів у зв’язку з «явно хибними технічними твердженнями» в публікації Morphisec, що може перевести суперечку в правову площину.
Атака на eScan у ширшому контексті ланцюгів постачання ПЗ
Інцидент із eScan логічно вписується у стійкий тренд зростання атак на ланцюг постачання, коли кіберзлочинці б’ють не по окремих організаціях, а по вендорах ПЗ та сервіс-провайдерах. Резонансні приклади — компрометація SolarWinds та CCleaner, коли через заражені оновлення атакувальники отримали доступ до тисяч корпоративних систем по всьому світу.
Особливо небезпечними є атаки на продукти безпеки, адже оновлення таким рішенням традиційно довіряють без додаткових перевірок. Для MicroWorld це вже не перший інцидент, пов’язаний з інфраструктурою оновлень: у 2024 році дослідники пов’язували сервери оновлень eScan з кампанією розповсюдження шкідника GuptiMiner, націленого на корпоративні мережі для встановлення бекдорів і криптомайнерів. Це підтверджує сталість інтересу висококваліфікованих груп до такого вектору атаки.
Практичні рекомендації: як знизити ризики атак на ланцюг постачання
Користувачам eScan, особливо у корпоративному сегменті, варто впевнитися, що встановлено останні оновлення продукту, а офіційний інструмент очищення MicroWorld уже запущений на всіх вузлах. Додатково доцільно перевірити вміст файлу HOSTS, перелік запланованих завдань і наявність невідомих виконуваних файлів на диску.
Організаціям загалом варто переосмислити модель довіри до оновлень будь-яких вендорів. Серед практик, що підвищують стійкість до supply chain-атак:
— використання додаткових рівнів контролю (EDR, аналіз поведінки, мережевий моніторинг) поверх класичних антивірусів;
— детальне журналювання та регулярний аудит змін на серверах оновлень, проксі та репозиторіях ПЗ;
— контроль цілісності критичних файлів (зокрема HOSTS, системних служб і виконуваних файлів безпеки);
— застосування принципу найменших привілеїв та мережевої сегментації для інфраструктури оновлень і систем адміністрування.
Історія зі зламом сервера оновлень eScan ще раз демонструє, що безпека ланцюга постачання програмного забезпечення стала критичним елементом кіберстійкості. Навіть досвідчені вендори не застраховані від цілеспрямованих атак, тому вирішальними стають прозора комунікація, швидка реакція, готовність співпрацювати з незалежними дослідниками та зрілі процеси реагування на інциденти у самих замовників. Варто вже сьогодні переглянути ступінь довіри до автоматичних оновлень, запровадити додаткові технічні та організаційні контролі й системно перевіряти, наскільки надійним є ваш власний ланцюг постачання ПЗ.
