Az eScan frissítőszerverét feltörték: kártevőt terítettek

Érdemes megvizsgálni, miként veszélyeztethette világszerte számos eScan antivírus felhasználó biztonságát egy alig néhány órás incidens.

Frissítőkiszolgálón át érkezett a kártevő

Konkrétabban, a MicroWorld Technologies, az eScan antivírus fejlesztője megerősítette, hogy január 20-án, egy adott időablakban illetéktelenek hozzáférést szereztek egyik regionális frissítőkiszolgálójukhoz. Ennek eredményeként egy káros fájl jutott el azon ügyfelekhez, akik ebben a két órában töltöttek le frissítéseket. A hibás frissítés konfigurációs bináris, illetve rosszindulatú frissítés formájában érkezett.

Gyors reagálás és kármentesítés

Az érintett infrastruktúrát gyorsan elszigetelték, újjáépítették, az összes belépési adatot lecserélték, majd biztonsági javítást bocsátottak ki az érintett ügyfelek számára. Az eScan hangsúlyozza, hogy kizárólag azok a felhasználók lettek érintettek, akik a fertőzött regionális fürtszerveréről frissítettek, a többiek rendszerét nem érte támadás. A támadást belső monitorozás és ügyfélszolgálati jelentések alapján néhány órán belül észlelték, így a károk minimalizálhatók voltak. Az ügyfeleknek proaktívan küldtek értesítést, és személyesen is felvették a kapcsolatot az érintettekkel.

Ismert tünetek és technikai részletek

Azoknál, akikhez eljutott a rosszindulatú frissítés, a következő problémák jelentkezhettek: a frissítési szolgáltatás hibaüzenetei, a rendszer hosts-fájljának módosítása – amely megakadályozhatta a kapcsolatot az eScan szerverekkel –, manipulált frissítési konfigurációs fájlok, valamint az újabb biztonsági definíciók letöltésének ellehetetlenítése. Felugró ablak is jelezhette a frissítések hiányát. A káros Reload.exe nevű komponens többlépcsős kártevőt juttatott a rendszerbe, állandóságot biztosított a támadónak, parancsokat futtatott, valamint további káros szoftvereket töltött le irányító szerverekről.

Ellentmondások és utólagos intézkedések

A támadás után néhány órával az eScan kiadott egy helyreállító frissítést, amely automatikusan felismeri és javítja a hibákat, visszaállítja a frissítési rendszer működését, majd újraindítást kér. Mind az eScan, mind a független Morphisec cég azt tanácsolják, hogy blokkolni kell a támadók által használt C2 szervereket (köztük a delrosal.net és codegiant.io címeket). Az MI-hátterű támadásokra gyorsan reagáló, valós idejű értesítések most is kulcsfontosságúnak bizonyultak. Az ügy hátterében rejtett tényezők húzódtak meg, hiszen 2024-ben például észak-koreai hackerek már használták az eScan-t hátsóajtók telepítésére vállalati hálózatokban.

2025, adminboss, www.bleepingcomputer.com alapján