サイバーニュース.jp

世界のサイバーなニュースを配信

eScanアンチウイルス、アップデートサーバー侵害により多段階マルウェアを配信

カテゴリ:

セキュリティ侵害の概要

インドのサイバーセキュリティ企業MicroWorld Technologiesが開発するeScanアンチウイルスのアップデートインフラが、未知の攻撃者によって侵害されました。これにより、企業および個人のエンドポイントに持続的なダウンローダーが配布される事態が発生しました。Morphisecの研究者Michael Gorelik氏は、「悪意のあるアップデートはeScanの正規のアップデートインフラを通じて配布され、世界中の企業および個人のエンドポイントに多段階マルウェアが展開された」と述べています。

MicroWorld Technologiesは、インフラへの不正アクセスを検出し、直ちに影響を受けたアップデートサーバーを隔離しました。サーバーは約8時間オフラインとなりました。同社は、悪意のあるアップデートによって導入された変更を元に戻すパッチをリリースしており、影響を受けた組織に対しては同社への連絡を推奨しています。

攻撃の詳細とマルウェアの挙動

この攻撃は、地域アップデートサーバー構成への不正アクセスが原因であり、脅威アクターは2026年1月20日の約2時間の「限定された期間」に「破損した」アップデートを顧客に配布しました。

Morphisecが1月20日にこの事件を特定したところ、悪意のあるペイロードは製品の通常の機能を妨害し、自動修復を事実上阻止することが判明しました。具体的には、悪意のある「Reload.exe」ファイルが配信され、これがダウンローダーを投下します。このダウンローダーは、永続性の確立、リモートアップデートのブロック、追加ペイロード(「CONSCTLX.exe」を含む)を取得するための外部サーバーへの接触といった機能を備えています。

Kasperskyの分析によると、正規の「Reload.exe」が不正なものに置き換えられ、HOSTSファイルを変更することでアンチウイルス製品のそれ以上のアップデートを阻止します。このファイルは偽造された、無効なデジタル署名で署名されていました。また、この実行ファイルはUnmanagedPowerShellツールをベースにしており、AMSI(Antimalware Scan Interface)バイパス機能を加えて、悪意のあるPowerShellスクリプトを実行していました。

主要なPowerShellペイロードの機能:

  • インストールされているeScanソリューションを改ざんし、アップデートの受信とインストールされた悪意のあるコンポーネントの検出を阻止する。
  • Windows Antimalware Scan Interface (AMSI) をバイパスする。
  • 被害者のマシンがさらに感染すべきかどうかを確認し、該当する場合はPowerShellベースのペイロードを配信する。

被害者検証の段階では、インストールされているソフトウェア、実行中のプロセス、サービスが、分析ツールやKasperskyを含むセキュリティソリューションのハードコードされたブロックリストと照合されます。これらが検出された場合、それ以上のペイロードは配信されません。

実行されたPowerShellペイロードは、外部サーバーに接続して「CONSCTLX.exe」と、スケジュールされたタスクによって起動される2つ目のPowerShellベースのマルウェアという2つのペイロードを受信します。最初のPowerShellスクリプトは、「C:\Program Files (x86)\eScan\CONSCTLX.exe」コンポーネントも悪意のあるファイルに置き換えます。「CONSCTLX.exe」は、PowerShellベースのマルウェアを起動するとともに、eScan製品の最終アップデート時刻を「C:\Program Files (x86)\eScan\Eupdate.ini」ファイルに書き込むことで、ツールが正常に機能しているように見せかけます。

影響範囲と今後の課題

eScanの発表では、どの地域のアップデートサーバーが影響を受けたかは明記されていませんが、Kasperskyのテレメトリーデータ分析により、「インド、バングラデシュ、スリランカ、フィリピンに主に位置する、個人および組織に属する数百台のマシン」がサプライチェーン攻撃に関連するペイロードによる感染試行に遭遇したことが明らかになっています。

セキュリティ研究機関は、攻撃者がeScanの内部を詳細に研究し、そのアップデートメカニズムがどのように機能し、悪意のあるアップデートを配布するためにどのように改ざんできるかを理解する必要があったと指摘しています。脅威アクターがどのようにしてアップデートサーバーへのアクセスを確保したかは、現在も不明です。

「マルウェアがセキュリティソリューションのアップデートを通じて展開されるのは非常に珍しい」とKasperskyは述べており、「サプライチェーン攻撃は一般的に稀であり、アンチウイルス製品を通じて行われるものはなおさらである」と強調しています。

元記事: https://thehackernews.com/2026/02/escan-antivirus-update-servers.html

投稿をさらに読み込む