แตก! เซิร์ฟเวอร์อัปเดตของแอนตี้ไวรัสดัง eScan ถูกแฮกเพื่อใช้เป็นจุดปล่อยมัลแวร์

ถึงแม้ในด้านการป้องกันภัยไซเบอร์นั้นจะไม่มีเครื่องมือที่ดีที่สุดในการป้องกัน แต่การเลือกใช้เครื่องมือที่พัฒนาโดยบริษัทชื่อดัง มีชื่อเสียง ก็นับว่าเป็นทางเลือกที่ดีถ้าความรู้ของผู้ใช้งานจะไม่ค่อยลึกมากนัก แต่ในตอนนี้แม้แต่การใช้งานเครื่องมือจากผู้พัฒนาที่มีชื่อเสียง ก็มีความเสี่ยงได้

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงเหตุการณ์ที่ทางเซิร์ฟเวอร์สำหรับอัปเดตซอฟต์แวร์สำหรับการป้องกันมัลแวร์ eScan ของบริษัท MicroWorld Technologies จากประเทศอินเดีย ได้ถูกแฮกเกอร์จัดการแฮกเพื่อใช้เป็นฐานในการปล่อยมัลแวร์ โดยมัลแวร์จะถูกดาวน์โหลดผ่านทางระบบอัปเดตลงมาติดตั้งลงบนเครื่องของเหยื่อแทนตัวอัปเดตสำหรับการอัปเวอร์ชันซอฟต์แวร์ eScan ซึ่งถือได้ว่าเป็นการโจมตีแบบ การโจมตีห่วงโซ่อุปทาน หรือ Supply Chain Attack ประเภทหนึ่ง

ซึ่งการตรวจพบการโจมตีดังกล่าวนั้น ทางบริษัท MicroWorld Technologies ได้เป็นผู้ออกมาทำการเปิดเผยด้วยตนเองว่า ทางบริษัทได้ตรวจพบการเข้าถึงเซิร์ฟเวอร์โดยไม่ได้รับอนุญาตในช่วงวันที่ 20 มกราคม ที่ผ่านมา ซึ่งทางแฮกเกอร์นั้นได้ทำการปรับแต่งให้ผู้ที่ทำการอัปเดต “ในระยะเวลาที่กำหนด” ซึ่งเป็นช่วงเวลาที่ยาวประมาณ 2 ชั่วโมง จะได้รับอัปเดตที่มีมัลแวร์ปนเปื้อนอยู่ ลงไปติดตั้งบนเครื่องแทน โดยหลังจากที่ทางบริษัทตรวจจับได้ก็ได้ทำการระงับการใช้งานระบบอัปเดต พร้อมกับแยกเดี่ยว (Isolatation) ตัวเซิร์ฟเวอร์ที่มีปัญหาพร้อมตัดการเชื่อมต่อ (Offline) ตัวเซิร์ฟเวอร์ในทันทีเป็นเวลาอย่างน้อย 8 ชั่วโมง และหลังจากเปิดระบบอัปเดตใหม่ ทางบริษัทก็ได้ทำการออกแพทช์ (Patch) เพื่อแก้ไขปัญหาที่เกิดขึ้นให้กับทางผู้ใช้งาน พร้อมทั้งแนะนำให้องค์กรที่ใช้งานอยู่ที่การติดต่อกับทางบริษัทเพื่อรับแพทช์สำหรับผู้ใช้งานในระดับองค์กรในทันที

ทางทีมวิจัยจากบริษัทด้านความปลอดภัยไซเบอร์ Morphisec ได้เปิดเผยข้อมูลเกี่ยวกับอัปเดตที่มีการปนเปื้อนมัลแวร์ว่า ตัวไฟล์มัลแวร์ (Payload) นั้นจะขัดขวางการทำงานตามปกติของซอฟต์แวร์ eScan และจะนำไปสู่การดาวน์โหลด Payload อีกตัวหนึ่งที่มีชื่อว่า "Reload.exe" ซึ่ง Payload ตัวนี้จะทำหน้าที่ในการวางมัลแวร์นกต่อ (Downloader) อีกตัวหนึ่งลงบนระบบ พร้อมทั้งสร้างความคงทนบนระบบ (Persistence), บล็อกการอัปเดตจากระยะไกล, และติดต่อกับเซิร์ฟเวอร์เพื่อดาวน์โหลด Payload อีกตัวหนึ่งที่มีชื่อว่า "CONSCTLX.exe" ลงมาติดตั้งบนเครื่อง ซึ่งตัวไฟล์ "Reload.exe" นั้นแต่เดิมนั้นจะเป็นกลไกลอัปเดตของจริงของตัวซอฟต์แวร์ที่อยู่ในโฟลเดอร์  "C:Program Files (x86)escanreload.exe" ซึ่งในกรณีนี้จะเป็นการวางทับไฟล์ "Reload.exe" ที่ทำหน้าที่เป็น Payload ของมัลแวร์ลงไปทับไฟล์เก่าแทน โดยไฟล์ตัวนี้ถูกเซ็นด้วยลายเซ็นดิจิทัล (Digital Signature) ปลอม ซึ่งตัวไฟล์นั้นจะทำการขัดขวางการดาวน์โหลดอัปเดตเพิ่มเติมด้วยการเข้าไปแก้ไขไฟล์ HOSTS

ภาพจาก : https://download1.mwti.net/documents/Advisory/eScan_Security_Advisory_2026.pdf

ทางทีมวิจัยจาก Kaspersky บริษัทผู้พัฒนาเครื่องมือต่อต้านมัลแวร์อีกรายหนึ่ง ก็ได้ทำการอธิบายข้อมูลเพิ่มเติมเกี่ยวกับไฟล์ "Reload.exe" อีกว่า ตัวไฟล์นั้นถูกพัฒนาขึ้นด้วยเครื่องมือ UnmanagedPowerShell ซึ่งเป็นเครื่องมือที่ช่วยให้สคริปท์ PowerShell สามารถถูกรันภายใน Process ตัวใดก็ได้ ซึ่งตัวไฟล์นี้นั้นจากการสืบค้นพบว่าภายในตัวไฟล์นั้นจะมีการรันสคริปท์ PowerShell ที่ถูกเข้ารหัสแบบ Base64 จำนวน 3 ตัว ที่มีหน้าที่ต่างกันดังนี้

• ตัวแรกทำหน้าที่ในการป้องกันการดาวน์โหลดอัปเดตเพิ่มเติม เพื่อหลบเลี่ยงการถูกอัปเดตจากอัปเดตอย่างเป็นทางการของทางบริษัท
• ทำหน้าที่ในการหลบเลี่ยง (Bypass) ระบบต่อต้านมัลแวร์ของ Windows ที่มีชื่อว่า Windows Antimalware Scan Interface (AMSI)
• ตรวจสอบว่าเครื่องของเหยื่อมีความเหมาะสมในการฝังมัลแวร์ในขั้นตอนต่อไปหรือไม่ ซึ่งถ้าเข้าข่ายคุณสมบัติ ก็จะนำไปสู่การดาวน์โหลด Payload ตัวต่อไปลงมาติดตั้ง

สำหรับไฟล์มัลแวร์ตัวที่ 2 ชื่อ "CONSCTLX.exe" ที่ทำการดาวน์โหลดลงมานั้น แต่เดิมก็เป็นไฟล์ของตัวซอฟต์แวร์ของจริงเช่นเดียวกัน โดยจะอยู่ในโฟลเดอร์ "C:Program Files (x86)eScanCONSCTLX.exe" ทว่าไฟล์ใหม่ที่ถูกดาวน์โหลดลงมาทับนั้น เป็นไฟล์ที่มีการซ่อนสคริปท์ PowerShell ที่จะทำหน้าที่ในการตั้งเวลาทำงาน (Task Scheduling) ไว้อยู่ โดยจะเขียนทับค่าเวลาที่ต้องการให้มัลแวร์ทำงานไว้บนไฟล์ตั้งค่า "C:Program Files (x86)eScanEupdate.ini"

ทางบริษัท MicroWorld Technologies ได้ย้ำเตือนว่า การแฮกนั้นส่งผลกระทบแค่เฉพาะในถิ่นจำกัด (Region) เท่านั้น ไม่ได้ส่งผลกับผู้ใช้งานทั้งโลก แต่ก็ไม่ได้มีการเปิดเผยว่าท้องถิ่นที่ได้รับผลกระทบนั้น ครอบคลุมผู้ใช้งานในประเทศไหนบ้างแต่อย่างใด