Cảnh báo: Tấn công chuỗi cung ứng eScan nghiêm trọng

Một sự cố tấn công chuỗi cung ứng nghiêm trọng đã ảnh hưởng đến sản phẩm diệt virus eScan của MicroWorld Technologies. Các tác nhân đe dọa đã chiếm đoạt thành công cơ sở hạ tầng cập nhật hợp pháp của nhà cung cấp để phân phối mã độc. Sự cố này, được phát hiện vào ngày 20 tháng 01 năm 2026 bởi Morphisec, đã sử dụng một gói cập nhật bị trojan hóa để triển khai mã độc đa giai đoạn trên các điểm cuối của doanh nghiệp và người tiêu dùng trên toàn cầu.

Vụ việc khiến phần mềm diệt virus trở nên vô hiệu và can thiệp cụ thể vào cấu hình hệ thống để ngăn chặn việc khắc phục tự động. Sự thỏa hiệp này đại diện cho một rủi ro bảo mật đáng kể, yêu cầu các biện pháp ứng phó tức thì trước một cuộc tấn công mạng có chủ đích.

Chi tiết kỹ thuật cuộc tấn công mạng eScan

Cuộc tấn công bắt đầu thông qua một bản cập nhật độc hại được đẩy trực tiếp qua các kênh chính thức của eScan. Chuỗi tấn công diễn ra theo nhiều giai đoạn phức tạp, đảm bảo khả năng lây nhiễm và duy trì lâu dài trên hệ thống mục tiêu. Đây là một chiến thuật phổ biến trong các cuộc tấn công mạng tinh vi.

Giai đoạn 1: Lây nhiễm ban đầu và chứng chỉ hợp lệ

Giai đoạn đầu tiên liên quan đến việc một thành phần bị trojan hóa thay thế tệp nhị phân hợp pháp Reload.exe (32-bit). Điều đáng chú ý là tệp thực thi độc hại này được ký số bằng một chứng chỉ hợp lệ thuộc về “eScan (Microworld Technologies Inc.)”.

Việc sử dụng chứng chỉ hợp lệ đã cho phép mã độc vượt qua các xác minh tin cậy tiêu chuẩn của hệ điều hành và các giải pháp bảo mật khác, khiến việc phát hiện trở nên khó khăn hơn ở giai đoạn đầu của tấn công mạng này.

Giai đoạn 3: Triển khai downloader bổ sung

Sau khi được thực thi, payload của Giai đoạn 1 sẽ thả một downloader (trình tải xuống) được xác định là CONSCTLX.exe. Đây là thành phần quan trọng để tải xuống các payload bổ sung, mở đường cho việc xâm nhập sâu hơn vào hệ thống và gia tăng rủi ro bảo mật.

Sự tồn tại của CONSCTLX.exe là một chỉ số xâm nhập quan trọng, cho thấy hệ thống đã bị tổn hại và có khả năng đang chờ các lệnh hoặc payload tiếp theo từ máy chủ điều khiển của mã độc.

Giai đoạn 2: Thiết lập duy trì và lẩn tránh phòng thủ

Sau khi xâm nhập ban đầu, một downloader của Giai đoạn 2 sẽ thiết lập cơ chế duy trì (persistence) và thực hiện các động thái lẩn tránh phòng thủ (defense evasion). Giai đoạn này đặc biệt nguy hiểm và mang tính tấn công cao.

Nó sử dụng các lệnh thực thi PowerShell và can thiệp vào Windows Registry để vô hiệu hóa các tính năng bảo mật. Việc thao túng Registry này có thể bao gồm việc tắt các dịch vụ bảo mật, thay đổi chính sách bảo mật hoặc sửa đổi các khóa khởi động để đảm bảo mã độc được chạy sau mỗi lần khởi động lại hệ thống.

Mã độc kết nối với cơ sở hạ tầng Command and Control (C2) để truy xuất các payload bổ sung, biến công cụ bảo mật (phần mềm diệt virus eScan) thành một cửa ngõ để xâm nhập sâu hơn. Khả năng thiết lập kết nối C2 là dấu hiệu của một cuộc tấn công mạng được kiểm soát từ xa.

Cơ chế chống khắc phục (Anti-Remediation)

Một đặc điểm nổi bật của chiến dịch này là tập trung vào “chống khắc phục” (anti-remediation). Mã độc chủ động sửa đổi tệp hosts của hệ thống bị nhiễm để chặn liên lạc với các máy chủ cập nhật của eScan. Điều này ngăn chặn hệ thống nhận các bản vá hoặc định nghĩa virus mới nhất từ nhà cung cấp, làm tăng rủi ro bảo mật.

Ngoài ra, mã độc còn thay đổi các khóa Registry và tệp cấu hình cụ thể của eScan để phá vỡ vĩnh viễn cơ chế cập nhật của phần mềm diệt virus. Hệ quả là, các hệ thống bị nhiễm không thể nhận được các bản vá hoặc định nghĩa tự động, khiến chúng dễ bị tổn thương ngay cả sau khi nhà cung cấp khôi phục cơ sở hạ tầng của họ.

Kỹ thuật duy trì (Persistence Techniques)

Mã độc đạt được khả năng duy trì bằng cách tạo ra các tác vụ theo lịch trình (Scheduled Tasks) ngụy trang, nằm trong đường dẫn C:\Windows\Defrag\. Mã độc tạo các tác vụ sử dụng một mẫu đặt tên bắt chước các quy trình hệ thống hợp pháp, ví dụ như Windows\Defrag\CorelDefrag. Việc này giúp ẩn mình trong số các tác vụ hệ thống thông thường, khiến việc phát hiện xâm nhập trở nên khó khăn.

Ngoài ra, khả năng duy trì thông qua Registry được thiết lập dưới HKLM\Software\ bằng cách sử dụng các khóa GUID được tạo ngẫu nhiên, chứa các payload PowerShell được mã hóa. Các khóa Registry này đảm bảo rằng mã độc sẽ được thực thi mỗi khi hệ thống khởi động, ngay cả khi các tệp ban đầu đã bị xóa, củng cố khả năng duy trì của tấn công mạng.

Chỉ số xâm nhập (Indicators of Compromise – IOCs)

Các tổ chức đang sử dụng phần mềm diệt virus eScan cần khẩn trương quét môi trường của mình để tìm kiếm các chỉ số xâm nhập sau. Lưu ý rằng việc khắc phục tự động là không thể; sự hiện diện của các tệp hoặc cấu hình này cho thấy một sự thỏa hiệp đòi hỏi can thiệp thủ công.

Tên tệp và đường dẫn

• Tệp nhị phân bị trojan hóa: Reload.exe (32-bit)
• Downloader Giai đoạn 3: CONSCTLX.exe
• Thư mục tác vụ theo lịch trình: C:\Windows\Defrag\ (ví dụ: C:\Windows\Defrag\CorelDefrag)

Cấu hình Registry bị sửa đổi

• Khóa Registry duy trì: HKLM\Software\ với các khóa GUID được tạo ngẫu nhiên chứa payload PowerShell được mã hóa.
• Các khóa Registry và tệp cấu hình của eScan đã bị thay đổi để phá vỡ cơ chế cập nhật.

Domain Command and Control (C2)

Các quản trị viên mạng nên chặn lưu lượng truy cập đi ra (egress traffic) đến các miền sau, đã được xác định là một phần của cơ sở hạ tầng Command and Control của kẻ tấn công.

# Domain C2 ví dụ (Nội dung gốc không cung cấp các miền cụ thể. Danh sách này chỉ là minh họa định dạng.)# malicious-c2-server.com# update-bypass.net# backdoor-command.org

Hướng dẫn ứng phó khẩn cấp và khắc phục

Vì mã độc đã phá vỡ cơ chế cập nhật của phần mềm diệt virus, các bản cập nhật tự động sẽ không thành công trên các máy đã bị xâm nhập. eScan đã tạm ngừng hệ thống cập nhật toàn cầu trong hơn tám giờ để cô lập cơ sở hạ tầng, nhưng điều này không làm sạch các điểm cuối đã bị nhiễm. Để giảm thiểu rủi ro bảo mật, cần hành động nhanh chóng.

Xác định hệ thống bị ảnh hưởng

Các quản trị viên phải giả định rằng các hệ thống đang chạy eScan và hoạt động vào hoặc sau ngày 20 tháng 01 năm 2026 đã bị xâm nhập. Việc này rất quan trọng để khoanh vùng các máy có khả năng bị ảnh hưởng trong tấn công mạng này và bắt đầu quá trình khắc phục.

Kiểm tra tệp hosts và Registry

Các bước tức thì bao gồm xác minh tệp hosts (thường nằm ở C:\Windows\System32\drivers\etc\hosts) để tìm các mục chặn miền của eScan. Đồng thời, kiểm tra Registry để tìm các khóa GUID đáng ngờ chứa dữ liệu mảng byte, đặc biệt dưới HKLM\Software\.

# Ví dụ lệnh kiểm tra tệp hosts (trên Windows CMD)TYPE C:\Windows\System32\drivers\etc\hosts# Ví dụ lệnh kiểm tra khóa Registry cho dữ liệu mảng byte (trên PowerShell)# Cần tinh chỉnh để tìm các khóa GUID cụ thể do mã độc tạo ra.Get-ChildItem -Path HKLM:\Software\ -Recurse -ErrorAction SilentlyContinue | ForEach-Object { $key = $_ $key.GetValueNames() | ForEach-Object { $valueName = $_ $value = $key.GetValue($valueName) if ($value -is [byte[]]) { Write-Host "Phát hiện dữ liệu mảng byte trong Registry: Key = $($key.Name), ValueName = $($valueName)" } }}

Liên hệ nhà cung cấp và áp dụng bản vá thủ công

Các tổ chức bị ảnh hưởng phải liên hệ trực tiếp với MicroWorld Technologies (eScan) để có được một bản vá bảo mật thủ công chuyên biệt. Bản vá này được thiết kế để hoàn nguyên các thay đổi cấu hình và khôi phục chức năng cập nhật của phần mềm.

Việc áp dụng bản vá bảo mật thủ công là bước cuối cùng để khắc phục hoàn toàn hệ thống và giảm thiểu rủi ro bảo mật do cuộc tấn công mạng này gây ra. Điều này đảm bảo hệ thống có thể nhận các bản cập nhật định kỳ trong tương lai.