印度防毒軟體eScan遭供應鏈攻擊,更新基礎設施被用於交付惡意程式
攻擊事件概述
印度網絡安全公司MicroWorld Technologies開發的eScan殺毒軟體更新基礎設施遭到未知攻擊者入侵,攻擊者利用其合法的更新機制,向企業與消費者系統傳播持久化下載器惡意軟體。
攻擊手法與技術細節
- 攻擊者透過中間人攻擊(Man-in-the-Middle Attack)竄改eScan的HTTP更新服務,將惡意程式包文件植入更新機制中。
- 惡意軟體以多階段形式被傳播,包括GuptiMiner等礦工軟體,並透過合法更新管道隱蔽執行。
- 由於eScan長期使用明文HTTP協議,且未對數據包進行數位簽章或哈希校驗,導致攻擊者可輕易劫持更新流程。
- 攻擊事件持續時間長達五年,顯示其供應鏈漏洞長期存在且未被有效修復。
後續應對與修復
eScan方面已確認涉事伺服器基礎設施完成隔離與重建,相關身份認證憑證也已完成更換,並為受影響用戶提供對應的安全修復方案。
相關研究與報導
安全廠商Morphisec研究人員指出,此事件為供應鏈攻擊的典型案例,顯示軟體更新機制若缺乏安全驗證,將成為惡意行為的跳板。