يؤكد eScan أن خادم التحديث قد تم اختراقه لدفع التحديث الضار

أكدت شركة MicroWorld Technologies، الشركة المصنعة لمنتج مكافحة الفيروسات eScan، أن أحد خوادم التحديث الخاصة بها قد تم اختراقه واستخدامه لتوزيع تحديث غير مصرح به تم تحليله لاحقًا على أنه ضار لمجموعة فرعية صغيرة من العملاء في وقت سابق من هذا الشهر.

تم تسليم الملف إلى العملاء الذين قاموا بتنزيل التحديثات من مجموعة التحديث الإقليمية خلال نافذة مدتها ساعتين في 20 يناير 2026.

تقول eScan أنه تم منذ ذلك الحين عزل البنية التحتية المتأثرة وإعادة بنائها، وتم تدوير بيانات اعتماد المصادقة، وتم توفير العلاج للعملاء المتأثرين.

“https://www.bleepstatic.com/c/w/wiz/AI-Data-Security-970×250.png” البديل=”Wiz”>

نشرت شركة الأمن Morphisec بشكل منفصل تقريرًا فنيًا يحلل النشاط الضار الذي تمت ملاحظته على نقاط نهاية العميل، والذي يربطه بالتحديثات المقدمة من البنية التحتية لتحديث eScan خلال نفس الإطار الزمني.

تذكر Morphisec أنها اكتشفت نشاطًا ضارًا في 20 يناير 2026، واتصلت لاحقًا بـ eScan. وقالت شركة MicroWorld Technologies لـ BleepingComputer إنها تعارض ادعاءات Morphisec بأنها كانت أول من اكتشف الحادث أو أبلغ عنه.

وفقًا لـ eScan، اكتشفت الشركة المشكلة داخليًا في 20 يناير من خلال المراقبة وتقارير العملاء، وعزلت البنية التحتية المتأثرة في غضون ساعات، وأصدرت استشارة أمنية في 21 يناير. وتقول eScan إن Morphisec اتصلت بالشركة لاحقًا، بعد نشر ادعاءات عامة حول الحادث.

تعارض eScan أيضًا الادعاءات القائلة بأن العملاء المتأثرين لم يكونوا على علم بالمشكلة، مشيرة إلى أنها أجرت إخطارات استباقية وتواصلًا مباشرًا مع العملاء المتأثرين أثناء الانتهاء من المعالجة.

تم اختراق البنية التحتية للتحديث

في تقريرها الاستشاري، صنفت eScan الحادث على أنه حادث وصول إلى البنية التحتية للتحديث، مشيرة إلى أن الوصول غير المصرح به إلى تكوين خادم التحديث الإقليمي سمح بوضع ملف غير مصرح به في مسار توزيع التحديث.

“Unauthorized access to one of our regional update server configurations resulted in an incorrect file (patch configuration binary/corrupt update) being placed in the update distribution path,” يقرأ نصيحة تمت مشاركتها مع BleepingComputer بواسطة MicroWorld Technologies.

“This file was distributed to customers downloading updates from the affected server cluster during a limited timeframe on January 20, 2026.”

وأكدت الشركة أن الحادث لا ينطوي على ثغرة أمنية في منتج eScan نفسه.

وشددت eScan على أن فقط أولئك الذين تم تحديث برامجهم من المجموعة الإقليمية المحددة هم الذين تأثروا، في حين ظل جميع العملاء الآخرين غير متأثرين.

ومع ذلك، يقول eScan أن أولئك الذين قاموا بتثبيت التحديث الضار ربما شاهدوا هذا السلوك على أنظمتهم:

• تحديث إشعارات فشل الخدمة
• يستضيف النظام المعدل ملفًا يمنع الاتصال بخوادم تحديث eScan
• تعديلات ملف تكوين تحديث eScan
• عدم القدرة على تلقي تحديثات تعريف الأمان الجديدة
• تحديث النافذة المنبثقة لعدم التوفر على الأجهزة العميلة

اتصلت BleepingComputer بشركة eScan لطرح المزيد من الأسئلة حول متى تم اختراق أنظمتها في البداية وسوف نقوم بتحديث القصة إذا تلقينا ردًا.

تم نشر التحديث لدفع البرامج الضارة

مورفيسيك”https://www.morphisec.com/blog/critial-escan-threat-bulletin/” الهدف=”_blank” rel=”nofollow noopener”> النشرة الأمنية يقول أن التحديث الضار دفع إلى أسفل نسخة معدلة من مكون تحديث eScan، “Reload.exe”.

“Malicious updates were distributed through eScan’s legitimate update infrastructure, resulting in the deployment of multi-stage malware to enterprise and consumer endpoints globally,” يقرأ نشرة مورفيسيك.

بينما تم توقيع Reload.exe المعدل باستخدام ما يبدو أنه شهادة توقيع التعليمات البرمجية الخاصة بـ eScan، فإن كلاً من Windows وVirusTotal يظهران التوقيع على أنه غير صالح.

وفقًا لـ Morphisec، فإن ملف Reload.exe[[ إجمالي الفيروسات]تم استخدامه لتمكين الثبات وتنفيذ الأوامر وتعديل ملف Windows HOSTS لمنع التحديثات عن بعد والاتصال بالبنية التحتية C2 لتنزيل المزيد من الحمولات.

يقول الباحثون أنه تمت ملاحظة خوادم القيادة والتحكم التالية:

hxxps[://]vhs[.]delrosal[.]net/ihxxps[://]tumama[.]hns[.]tohxxps[://]blackice[.]sol-domain[.]orghxxps[://]codegiant[.]io/dd/dd/dd[.]git/download/main/middleware[.]ts504e1a42.host.njalla[.]net185.241.208[.]115

كانت الحمولة النهائية التي تم نشرها عبارة عن ملف باسم CONSCTLX.exe[[ إجمالي الفيروسات]، والذي يعمل Morphisec بمثابة باب خلفي وأداة تنزيل مستمرة. يقول Morphisec أن الملفات الضارة أنشأت مهام مجدولة للاستمرارية باستخدام أسماء مثل “CorelDefrag”.

أنشأ eScan تحديثًا علاجيًا يمكن للعملاء تشغيله لتنفيذ الإجراءات التالية:

• يحدد ويصحح التعديلات غير الصحيحة تلقائيًا
• إعادة تمكين وظيفة تحديث eScan المناسبة
• التحقق من الاستعادة الناجحة
• يتطلب إعادة تشغيل النظام القياسي

يوصي كل من eScan وMorphisec بأن يقوم العملاء بحظر خوادم الأوامر والتحكم المذكورة أعلاه لمزيد من الأمان.

وفي عام 2024، تمت ملاحظة قراصنة كوريا الشمالية”https://www.bleepingcomputer.com/news/security/hackers-hijack-antivirus-updates-to-drop-guptiminer-malware/” الهدف=”_blank” rel=”nofollow noopener”> استغلال آلية التحديث برنامج eScan المضاد للفيروسات لزرع أبواب خلفية على شبكات الشركات.