20 января 2026 года разработчик антивируса eScan, индийская компания MicroWorld Technologies, столкнулась с классической атакой на цепочку поставок: злоумышленники скомпрометировали один из региональных серверов обновлений и распространили через него вредоносное обновление среди части клиентов. Под удар попали только пользователи, чьи системы в конкретный период времени обращались именно к этому кластеру обновлений.
Суть инцидента: взлом сервера обновлений eScan и реакция вендора
По официальному заявлению MicroWorld, после обнаружения подозрительной активности инфраструктура скомпрометированного сервера была немедленно изолирована от остальной сети. Компания полностью перестроила затронутый сегмент с нуля, заменила все учетные данные и пересоздала конфигурацию сервера обновлений, чтобы исключить повторный несанкционированный доступ.
Вендор также выпустил специальный инструмент для пострадавших клиентов. Утилита автоматически выявляет следы атаки, удаляет вредоносные компоненты, восстанавливает корректную работу обновлений и в финале требует перезагрузки системы для завершения очистки.
Технические детали: как работала supply chain-атака на eScan
Параллельно с заявлениями MicroWorld компания Morphisec опубликовала собственный технический отчет, в котором классифицировала инцидент как критическую компрометацию цепочки поставок. По данным исследователей, злоумышленники получили доступ к конфигурации регионального сервера обновлений и подменили на нем легитимный файл обновления на специально подготовленный вредоносный компонент.
Ключевым элементом атаки стала модифицированная версия компонента Reload.exe. Файл был подписан сертификатом eScan, что должно было создавать видимость легитимности. Однако и Windows, и сервис VirusTotal расценивали эту подпись как невалидную. Это важный индикатор: цифровая подпись сама по себе не гарантирует безопасность, если сертификат скомпрометирован или используется некорректно.
Функциональность вредоносного Reload.exe и финальный бэкдор CONSCTLX.exe
По описанию Morphisec, вредоносный Reload.exe обеспечивал закрепление злоумышленников в системе, позволял выполнять произвольные команды операторов и модифицировал системный файл HOSTS в Windows. В частности, туда добавлялись записи, блокирующие подключение к серверам обновлений eScan, что мешало получить исправляющие обновления и усложняло обнаружение компрометации.
Компрометированный компонент устанавливал связь с управляющей (C2) инфраструктурой злоумышленников и загружал дополнительные полезные нагрузки. Финальным пейлоадом в цепочке стал файл CONSCTLX.exe — полнофункциональный бэкдор, выступающий в роли постоянного загрузчика. Для сохранения присутствия в системе малварь создавала запланированные задачи с маскирующимися именами, например «CorelDefrag», что затрудняло ее обнаружение при поверхностной проверке.
Признаки компрометации для пользователей eScan
Пострадавшие пользователи могли заметить несколько характерных симптомов. Среди них — ошибки службы обновлений, невозможность загрузить новые вирусные сигнатуры, повторяющиеся всплывающие окна о недоступности серверов обновления и неожиданные изменения в файле HOSTS. Появление подобных признаков, особенно в сочетании, является веским поводом для немедленной проверки системы и обращения к поддержке вендора.
Спор MicroWorld и Morphisec: кто первым обнаружил инцидент
Отдельного внимания заслуживает коммуникационный аспект инцидента. В MicroWorld Technologies не согласны с утверждениями Morphisec о том, что именно сторонние исследователи первыми обнаружили и де-факто раскрыли атаку. Представители eScan заявили изданию The Register, что аномалии были выявлены их собственной командой с помощью внутреннего мониторинга и обращений клиентов, а специалисты Morphisec вышли на контакт уже после того, как предупреждения были опубликованы в блоге компании и социальных сетях.
Вендор также отверг тезис о том, что пострадавшие пользователи якобы могли не узнать о проблеме. По словам MicroWorld, клиенты проактивно уведомлялись через электронную почту, WhatsApp, телефонные звонки и портал техподдержки. Компания открыто заявила о намерении привлечь юристов в связи с «явно ложными техническими утверждениями» в публикации Morphisec, что может перевести конфликт в правовую плоскость.
Атака на eScan в контексте тренда компрометации цепочки поставок
Инцидент с eScan вписывается в устойчивый тренд роста supply chain-атак, когда злоумышленники бьют не по конечным организациям напрямую, а по поставщикам программного обеспечения и ИТ-сервисов. Известные примеры — случаи с SolarWinds и CCleaner, когда через зараженные обновления атакующие получали доступ к тысячам систем по всему миру. Особую опасность представляют атаки на продукты безопасности, потому что пользователи по умолчанию доверяют их обновлениям.
Для MicroWorld это уже не первый инцидент, связанный с механизмом обновлений. В 2024 году, по открытым исследованиям, северокорейские группировки использовали инфраструктуру обновлений eScan для распространения вредоноса GuptiMiner. Тогда через антивирусный софт в крупные корпоративные сети доставлялись бэкдоры и криптовалютные майнеры, что подчеркивает устойчивый интерес продвинутых атакующих к этому вектору.
Практические рекомендации: как снизить риски таких атак
Пользователям eScan, особенно в корпоративном сегменте, следует убедиться, что установлены последние обновления продукта и запущен официальный инструмент очистки, предложенный MicroWorld. Полезно дополнительно проверить содержимое файла HOSTS, список запланированных задач и наличие неизвестных исполняемых файлов, а также настроить централизованный мониторинг ошибок обновления на рабочих станциях и серверах.
Организациям в целом имеет смысл пересмотреть подход к доверию обновлениям любых вендоров. Практики, повышающие устойчивость к атакам на цепочку поставок, включают:
— использование дополнительных уровней контроля (EDR, поведенческий анализ) поверх классических антивирусов;
— аудит и журналирование всех изменений на серверах обновлений и прокси;
— контроль целостности критичных файлов (в том числе HOSTS и системных исполняемых файлов);
— принцип наименьших привилегий и сегментацию сети для инфраструктуры обновлений;
Инцидент вокруг сервера обновлений eScan еще раз показывает, что безопасность цепочки поставок ПО стала критическим элементом киберустойчивости. Даже проверенные временем вендоры не застрахованы от целевых атак, поэтому ключевыми факторами становятся прозрачность, оперативная реакция, готовность к взаимодействию с независимыми исследователями и зрелые процессы реагирования на инциденты у самих заказчиков. Компании, для которых кибербезопасность критична, уже сейчас должны переоценить свою зависимость от автоматических обновлений и встроить контроль доверия к поставщикам в общую стратегию защиты.
