DAEMON Toolsi tarneahela rünnak
Küberturvalisuse uurijad on paljastanud keeruka tarneahela rünnaku, mis hõlmas DAEMON Toolsi installijaid. Ohurühmad said edukalt kahjustada ametlikke Windowsi installijaid, mida levitati legitiimse DAEMON Toolsi veebisaidi kaudu, manustades pahatahtlikku koodi digitaalselt allkirjastatud tarkvarapakettidesse. Kuna installijatel olid autentsed arendaja sertifikaadid, tundus pahavara usaldusväärne ja möödus tavapärastest turvakaitsetest hõlpsalt.
Ohustatud installijate versioonid olid vahemikus 12.5.0.2421 kuni 12.5.0.2434 ning pahatahtlik tegevus registreeriti 8. aprillil 2026. Mõjutatud oli ainult tarkvara Windowsi versioon, Maci versioon jäi puutumata. Pärast intsidendi avalikustamist avaldas arendaja AVB Disc Soft versiooni 12.6.0.2445, mis eemaldab pahatahtliku funktsiooni ja lahendab rikkumise.
Sisukord
Seaduslike protsesside sees peidetud pahatahtlikud komponendid
Uurijad avastasid, et ründajad muutsid kolme kriitilist DAEMON Toolsi komponenti:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Alati, kui mõni neist binaarfailidest käivitus, tavaliselt süsteemi käivitamise ajal, aktiveerisid nad nakatunud masinas peidetud implantaadi. Implantaat suhtles välise domeeniga env-check.daemontools.cc, mis registreeriti 27. märtsil 2026, et hankida Windowsi cmd.exe protsessi kaudu käivitatud käske.
Allalaaditud käsud käivitasid täiendava pahavara juurutamise, võimaldades ründajatel laiendada kontrolli ohustatud süsteemide üle, jäädes samal ajal usaldusväärse tarkvarakäitumise varju.
Mitmeastmeline pahavara juurutamine tekitab häire
Rünnakuahel hõlmas mitut teisest kasulikku koormust, mis olid mõeldud luureks, püsivuseks ja kaugjuhtimiseks. Kasutatud failide hulgas olid:
envchk.exe – .NET-põhine luureprogramm, mis on võimeline koguma üksikasjalikku süsteemiteavet.
cdg.exe ja cdg.tmp – komponendid, mida kasutatakse kerge tagaukse dekrüpteerimiseks ja käivitamiseks, mis on võimeline faile alla laadima, kestakäsklusi täitma ja kestakoodi otse mälus käitama.
Turvaanalüütikud tuvastasid ka kaugjuurdepääsuga trooja, mida tuntakse kui QUIC RAT. Pahavara toetab arvukalt käsklus- ja juhtimispõhiseid (C2) suhtlusmeetodeid, sealhulgas HTTP, TCP, UDP, DNS, WSS, QUIC ja HTTP/3. Lisaks saab see süstida pahatahtlikke andmeid legitiimsetesse Windowsi protsessidesse, näiteks notepad.exe ja conhost.exe, muutes tuvastamise oluliselt raskemaks.
Tuhanded ohvrid paljastatud, kuid sihtmärgiks vaid valitud inimesed
Teadlased täheldasid mitu tuhat nakatumiskatset, mis olid seotud nakatunud installijatega enam kui 100 riigis, sealhulgas Venemaal, Brasiilias, Türgis, Saksamaal, Prantsusmaal, Itaalias, Hispaanias ja Hiinas. Vaatamata laiale nakatumise ulatusele sai täiustatud tagaukse rünnaku vaid piiratud arv süsteeme, mis viitab väga selektiivsele sihtimisstrateegiale.
Järgnev pahavara tuvastati jaemüügi, teadusuuringute, valitsuse, tootmise ja haridussektori organisatsioonides Venemaal, Valgevenes ja Tais. Üks kinnitatud QUIC RAT-nakkuse sihtmärk oli haridusasutus Venemaal.
See valikuline juurutamine viitab tugevalt sellele, et kampaania oli kavandatud täpseks sihtimiseks, mitte valimatuks massiliseks nakatumiseks. Teadlased pole aga veel kindlaks teinud, kas ründajad kavatsesid läbi viia küberspionaažioperatsioone või rahaliselt motiveeritud „suurulukijahi“ rünnakuid.
Tõendid viitavad keerukale hiina keelt kõnelevale ohutegelasele
Kuigi ühtegi teadaolevat ohurühmitust pole operatsiooniga ametlikult seostatud, viitab pahavara artefaktide kohtuekspertiisi analüüs hiinakeelse vastase seotusele. Sissetungi keerukus koos võimega kahjustada ametliku müüjakanali kaudu levitatavat allkirjastatud tarkvara näitab edasijõudnud ründevõimet ja pikaajalist operatiivplaneerimist.
DAEMON Toolsi rünnak liitub kasvava tarkvara tarneahela rünnakute lainega, mida täheldati 2026. aasta esimesel poolel. Sarnased intsidendid mõjutasid varem jaanuaris eScani, veebruaris Notepad++ ja aprillis CPUID-d.
Miks on tarneahela rünnakud nii ohtlikud
Tarneahela kompromiteerimine on endiselt eriti ohtlik, kuna see kasutab ära kasutajate loomupärast usaldust seaduslike tarkvaramüüjate vastu. Ametlikelt veebisaitidelt otse alla laaditud ja kehtivate digitaalsete sertifikaatidega allkirjastatud rakendusi ei käsitle kasutajad ega turvatooted harva kahtlastena.
Antud juhul jäi pahatahtlik tegevus väidetavalt peaaegu kuuks avastamata, mis rõhutab nii ründajate keerukust kui ka traditsiooniliste perimeetripõhiste turvakaitsevahendite piiranguid. Turvaspetsialistid rõhutavad, et organisatsioonid, mis kasutavad mõjutatud DAEMON Toolsi versioone, peaksid viivitamatult isoleerima mõjutatud süsteemid ja läbi viima ulatuslikke ohuotsingu operatsioone, et tuvastada võimalikku külgmist liikumist või täiendavat pahatahtlikku tegevust ettevõtte võrkudes.
Tarnija vastus ja soovitatavad leevendusmeetmed
AVB Disc Soft teatas, et rikkumine näib piirduvat tarkvara Lite-versiooniga ning kinnitas, et intsidendi täieliku ulatuse ja algpõhjuse väljaselgitamiseks on käimas uurimine.
Kasutajatel, kes laadisid alla või installisid DAEMON Tools Lite versiooni 12.5.1 mõjutatud ajavahemikul, soovitatakse tungivalt tarkvara viivitamatult eemaldada, teha täielik viirusetõrje- ja lõpp-punkti turvaskannimine usaldusväärsete turvatööriistade abil ning installida uuesti ainult uusim puhas versioon, mis on otse DAEMON Toolsi ametlikult veebisaidilt hangitud.
