ב- 20 בינואר התרחשה מתקפת שרשרת אספקה, כאשר התוכנה הנגועה הייתה האנטי-וירוס eScan שפותחה על ידי חברת MicroWorld Technologies ההודית. הנוזקה, שלא הייתה מוכרת קודם לכן, הופצה דרך שרת העדכונים של eScan. ב- 21 בינואר, לאחר שקיבלו הודעה מ- Morphisec, בלמו מפתחי eScan את מתקפת הסייבר. משתמשי מוצר האבטחה eScan קיבלו קובץ Reload.exe זדוני אשר יזם שרשרת הדבקה רב-שלבית. לדברי Morphisec שהיו הראשונים לחקור את המתקפה, מנע Reload.exe עדכונים נוספים של מוצרי אנטי-וירוס על ידי שינוי קובץ HOSTS ובכך חסם את היכולת של מפתחי פתרונות האבטחה לתקן את הבעיה באופן אוטומטי, מה שהוביל, בין היתר, לשגיאת שירות העדכונים. הנוזקה גם הבטיחה את הישארותה במערכת, תקשרה עם שרתי בקרה של פושעי הסייבר והתקינה נוזקות נוספות. התמדתה במערכת המחשוב הנגועה הושגה על ידי יצירת משימות מתוזמנות ובנוסף, הקובץ הזדוני consctlx.exe נכתב לדיסק במהלך ההדבקה.
לבקשת פורטל BleepingComputer, הסבירו מפתחי eScan כי פושעי הסייבר הצליחו להשיג גישה לאחד משרתי העדכונים האזוריים ולפרוס קובץ זדוני אשר נשלח אוטומטית ללקוחות. הם מדגישים כי לא מדובר בפגיעות – האירוע מסווג כגישה בלתי מורשית לתשתית. הקובץ הזדוני הופץ עם חתימה דיגיטלית מזויפת ולא חוקית. לדברי המפתחים, התשתית שנפגעה מהאירוע בודדה במהירות וכל אישורי הגישה אופסו.
זוהו מאות מערכות מחשוב השייכות לאנשים פרטיים ולארגונים, שנתקלו בניסיונות הדבקה עם נוזקות הקשורות למתקפת שרשרת האספקה על eScan. מערכות מחשוב אלו היו ממוקמות בעיקר בדרום אסיה, בעיקר בהודו, בנגלדש, סרי לנקה והפיליפינים. כדי לתזמר את ההדבקה, הצליחו פושעי הסייבר להחליף רכיב לגיטימי של האנטי-וירוס eScan, הממוקם תחת הנתיב C:\Program Files (x86)\escan\reload.exe, בקובץ הרצה זדוני. קובץ reload.exe זה מופעל בזמן ריצה על ידי רכיבים של האנטי-וירוס eScan ויש לו חתימה דיגיטלית מזויפת ולא חוקית. כאשר מופעל, בודק קובץ reload.exe אם הוא מופעל מתיקיית Program Files ונסגר אם לא. בנוסף, הוא מאתחל את סביבת CLR (Common Language Runtime) בתוך התהליך שלו, בה הוא משתמש כדי לטעון קובץ הפעלה קטן של .NET בזיכרון. קובץ הפעלה זה מבוסס על הכלי UnmanagedPowerShell, המאפשר לבצע קוד PowerShell בכל תהליך. פושעי הסייבר שינו את קוד המקור על ידי הוספת יכולת עקיפת AMSI אליו והשתמשו בו כדי לבצע סקריפט PowerShell זדוני בתוך תהליך reload.exe.
יש לציין שזה די ייחודי לראות נוזקות נפרסות באמצעות עדכון פתרון אבטחה. מתקפות שרשרת אספקה אינן שכיחות באופן כללי, שלא לדבר על אלו שמבוצעות באמצעות מוצרי אנטי-וירוס. מתקפת סייבר זו הוכנה ביסודיות, שכן כדי לתזמן אותה, היו פושעי הסייבר צריכים: לקבל גישה לשרת עדכוני פתרון האבטחה; ללמוד את המרכיבים הפנימיים של מוצר eScan כדי ללמוד כיצד פועל מנגנון העדכון שלו וכן כיצד ניתן להתערב במוצר זה; לפתח שתלים ייחודיים המותאמים למתקפת שרשרת האספקה. עובדה מעניינת לגבי השתלים שנפרסו היא, שהם מיישמים שיטות גיבוי לביצוע פעולות זדוניות, לדוגמה: אם המשימה המתוזמנת המפעילה את מטען PowerShell נמחקת, היא עדיין תופעל על ידי קובץ CONSCTLX.exe. בנוסף, אם שרתי C2 של פושעי הסייבר המשמשים את מטען PowerShell מזוהים ונחסמים, עדיין יכולים פושעי הסייבר לפרוס קודי מעטפת למערכת המחשוב הנגועה דרך CONSCTLX.exe.
דבר חיובי במתקפת סייבר זו הוא, שהיא הוכלה תוך פרק זמן קצר למדי. מכיוון שלפתרונות אבטחה יש רמת אמון גבוהה בתוך מערכת ההפעלה, יכולים פושעי סייבר להשתמש במגוון דרכים יצירתיות כדי לתזמר את ההדבקה, למשל באמצעות שתלים במצב ליבה. עם זאת, במתקפת הסייבר הנוכחית, הם הסתמכו על רכיבים במצב משתמש וטכניקות הדבקה נפוצות, כגון שימוש במשימות מתוזמנות לצורך התמדה.
