首页
活动
社区
学院
安全导航

eScan证实更新服务器遭入侵,黑客借其推送恶意更新

阅读量4160

发布时间 : 2026-01-30 11:27:07

x
译文声明

本文是翻译文章,文章原作者 Lawrence Abrams,文章来源:bleepingcomputer

原文地址:https://www.bleepingcomputer.com/news/security/escan-confirms-update-server-breached-to-push-malicious-update/

译文仅供参考,具体内容表达以及含义原文为准。

eScan 杀毒软件开发商微世界科技(MicroWorld Technologies) 已正式证实,其旗下一台更新服务器本月初遭黑客入侵,黑客利用该服务器向一小部分用户推送了未经授权的更新程序,后续分析证实该程序为恶意文件。
2026 年 1 月 20 日,在长达两小时的时间窗口内,从该区域更新服务器集群下载更新的用户均收到了这一恶意文件。

eScan 方面表示,涉事的服务器基础设施已完成隔离与重建,相关身份认证凭证也已完成更换,同时已为受影响用户提供了对应的安全修复方案。

安全厂商Morphisec也单独发布了一份技术报告,分析了在客户终端监测到的恶意活动,该机构确认这些活动与同一时间段内从 eScan 更新服务器推送的更新程序直接相关。

Morphisec 称其于 2026 年 1 月 20 日检测到相关恶意活动,随后联系了 eScan。但微世界科技向科技媒体 BleepingComputer 表示,该公司对 Morphisec 宣称自身为首个发现并上报该事件的说法存在异议。
eScan 方面给出的说法是,公司已于 1 月 20 日通过系统监控和用户反馈内部发现了该问题,并在数小时内完成了涉事基础设施的隔离,且于 1 月 21 日发布了安全预警公告。eScan 还指出,Morphisec 是在公开发布该事件相关声明后,才联系了公司。
对于 “受影响用户对该事件毫不知情” 的说法,eScan 同样予以否认,称其在安全修复方案敲定期间,已主动向受影响用户发送通知并进行了一对一沟通。

更新服务器遭非法入侵

eScan 在其安全预警公告中将该事件定性为更新基础设施访问入侵事件,表示黑客通过非法访问某区域更新服务器的配置信息,在更新分发路径中植入了未经授权的文件。
微世界科技向 BleepingComputer 提供的公告中写道:“黑客非法访问了我们某台区域更新服务器的配置,导致一个异常文件(补丁配置二进制文件 / 恶意损坏更新包)被植入更新分发路径。”
“2026 年 1 月 20 日的特定时间段内,从该受影响服务器集群下载更新的用户,均接收到了该文件。”
该公司强调,此次事件并非因 eScan 杀毒软件自身存在漏洞所致。
eScan 还明确,仅有从该特定区域服务器集群完成软件更新的用户受到影响,其余所有用户均未波及。
不过 eScan 表示,安装了该恶意更新程序的用户,其设备可能出现以下异常现象:
  • 更新服务故障提示
  • 系统 hosts 文件被篡改,导致无法连接 eScan 更新服务器
  • eScan 更新配置文件被修改
  • 无法接收新的病毒库安全定义更新
  • 客户端设备弹出更新服务不可用的提示窗口
BleepingComputer 已向 eScan 进一步求证其服务器最初遭入侵的具体时间,若收到回复将第一时间更新相关报道。

恶意更新被用于投放恶意软件

Morphisec 在其安全公告中指出,此次黑客推送的恶意更新程序,植入了经篡改的 eScan 更新组件Reload.exe
该公告中写道:“黑客通过 eScan 合法的更新基础设施分发恶意更新程序,导致全球范围内的企业和个人终端设备均被植入了多阶段恶意软件。”
尽管这一经篡改的 Reload.exe 文件,表面上带有看似属于 eScan 的代码签名证书,但 Windows 系统和病毒检测平台 VirusTotal 均判定该签名无效
Morphisec 表示,这款恶意 Reload.exe 文件(可在 VirusTotal 查询)被黑客用于实现恶意程序持久化驻留、执行恶意命令、篡改 Windows HOSTS 文件以阻止设备进行远程更新,同时连接黑客的命令与控制(C2)服务器,下载更多恶意载荷。

研究人员公布了监测到的以下黑客命令与控制服务器地址:

hxxps [://] vhs [.] delrosal [.] net/i

hxxps [://] tumama [.] hns [.] to

hxxps [://] blackice [.] sol-domain [.] org

hxxps [://] codegiant [.] io/dd/dd/dd [.] git/download/main/middleware [.] ts

504e1a42.host.njalla [.] net

185.241.208 [.] 115

研究人员发现,黑客最终向受感染设备投放的恶意载荷为一个名为CONSCTLX.exe的文件(可在 VirusTotal 查询),Morphisec 确认该文件是一款后门程序,同时具备持久化下载恶意文件的功能。该机构还表示,这些恶意文件会创建计划任务以实现持久化驻留,任务名称伪装为CorelDefrag等正常名称。
目前 eScan 已推出一款修复性更新程序,用户运行后可自动完成以下操作:
  1. 自动识别并修正被篡改的系统配置
  2. 恢复 eScan 更新服务的正常功能
  3. 验证系统是否成功恢复
  4. 操作完成后需重启系统(常规重启即可)
eScan 与 Morphisec 均建议用户,为提升设备安全性,屏蔽上述所有黑客命令与控制服务器地址
值得注意的是,2024 年曾有相关监测显示,朝鲜黑客组织曾利用 eScan 杀毒软件的更新机制,在企业网络中植入后门程序。
本文翻译自bleepingcomputer 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

安全客

这个人太懒了,签名都懒得写一个

  • 文章
  • 980
  • 粉丝
  • 6

TA的文章

相关文章

热门推荐

文章目录
安全KER
商务合作
内容需知
合作单位
  • 安全KER
  • 安全KER
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66