サイバーニュース.jp

世界のサイバーなニュースを配信

eScanアンチウイルス、アップデートサーバー侵害により悪性ソフトウェア配布 – 高度なサプライチェーン攻撃の全貌

カテゴリ:

概要:eScanアンチウイルスを狙った大規模サプライチェーン攻撃

2026年1月20日、MicroWorld Technologies社のeScanアンチウイルスプラットフォームが、高度なサプライチェーン攻撃の標的となりました。攻撃者は正規のアップデートインフラを侵害し、多段階のマルウェアを世界中の企業および個人のエンドポイントに配布しました。これにより、eScanの機能が無効化され、自動アップデートがブロックされたため、数千ものユーザーが標準的なパッチ適用プロセスで修復できず、手動での介入が必要となる深刻な事態に発展しています。

攻撃の手法とペイロードチェーン

Morphisec社の報告によると、今回の攻撃は持続性と防御回避を目的とした3段階のアーキテクチャで展開されました。最初の段階では、トロイの木馬化されたeScanコンポーネントがReload.exeを悪性コードに置き換え、これによりCONSCTLX.exeという64ビットの持続型ダウンローダーがドロップされました。このダウンローダーは、任意のPowerShellコマンドを実行し、コマンド&コントロール(C2)通信を維持する能力を持っています。

第二段階では、Windows\Defrag\ディレクトリ内に「CorelDefrag」のような命名パターンを使用して偽装されたタスクスケジューラを通じて持続性を確立しました。同時に、正規のアップデートを妨害し、セキュリティ通信をブロックするために、ホストファイルおよびeScanのレジストリ設定が改ざんされました。

修復を妨害する巧妙な設計

この攻撃の洗練された点は、修復妨害機能にあります。攻撃者はeScanのアップデートメカニズムとレジストリ設定を意図的に破損させることで、標準的な自動パッチ適用が失敗するよう仕向け、組織に手動での修復作業を強制しました。この戦略的な設計により、攻撃期間が大幅に延長され、修復が行われる前に横移動やセカンダリペイロードの展開が成功する可能性が高まります。

推奨される検出と対策

組織は直ちに、以下の指標(IOCs)を用いてシステムの確認と対策を講じる必要があります。

  • ステージ1: トロイの木馬化されたeScanコンポーネント
    • 主要な悪性ペイロード Reload.exe (32-bit) のSHA-256ハッシュを検索: 36ef2ec9ada035c56644f677dab65946798575e1d8b14f1365f22d7c68269860
    • 関連するサンプル1のVirusTotal提出ハッシュ: 674943387cc7e0fd18d0d6278e6e4f7a0f3059ee6ef94e0976fae6954ffd40dd
    • 関連するサンプル2のVirusTotal提出ハッシュ: 386a16926aff225abc31f73e8e040ac0c53fb093e7daf3fbd6903c157d88958c
    • eScan (Microworld Technologies Inc.) のコード署名証明書(誤用された正規証明書)のサムプリント: 76B0D9D51537DA06707AFA97B4AE981ED6D03483
  • ステージ2: コマンド&コントロール(C2)インフラストラクチャ
    • C2ドメインをブロック: vhs.delrosal.net, tumama.hns.to, blackice.sol-domain.org, codegiant.io, 504e1a42.host.njalla.net
    • 関連IPアドレスをブロック: 185.241.208.115
  • ステージ3: 持続型ダウンローダー
    • CONSCTLX.exe (64-bit) のSHA-256ハッシュを検索: bec369597633eac7cc27a698288e4ae8d12bdd9b01946e73a28e1423b17252b1
  • 持続メカニズムの特定
    • スケジュールされたタスク: C:\Windows\Defrag\ 内の Windows\Defrag<Application>Defrag パターンのタスク(例: CorelDefrag)を確認
    • レジストリ永続化: HKLM\Software\ 下にあるエンコードされたバイト配列データを含む疑わしいGUID名のキーを検索
    • ホストファイルの改ざん: C:\Windows\System32\drivers\etc\hosts ファイルを検査し、eScanアップデートサーバーをブロックするエントリを確認
    • eScanレジストリの改ざん: eScan製品の設定キーで正規のアップデートを無効にしている箇所を確認

eScan社の対応と今後の課題

eScan社は、攻撃を認識後1時間以内に影響を受けたインフラを隔離し、8時間以上にわたりグローバルアップデートシステムをオフラインにすることで迅速に対応しました。機能回復のためのパッチもリリースされましたが、影響を受けたシステムは標準的なアップデートを再インストールする前に手動での介入が必要です。この攻撃は、サプライチェーンのセキュリティ対策の重要性を改めて浮き彫りにしています。

元記事: https://gbhackers.com/escan-antivirus-update-server-breached/

投稿をさらに読み込む