حمله زنجیره تامین ابزارهای DAEMON

محققان امنیت سایبری یک حمله زنجیره تأمین پیچیده را کشف کرده‌اند که شامل نصب‌کننده‌های DAEMON Tools می‌شود. عاملان تهدید با موفقیت نصب‌کننده‌های رسمی ویندوز را که از طریق وب‌سایت قانونی DAEMON Tools توزیع شده‌اند، به خطر انداختند و کد مخرب را در بسته‌های نرم‌افزاری دارای امضای دیجیتالی جاسازی کردند. از آنجا که نصب‌کننده‌ها دارای گواهینامه‌های معتبر توسعه‌دهنده بودند، این بدافزار قابل اعتماد به نظر می‌رسید و به راحتی از سد دفاعی امنیتی مرسوم عبور می‌کرد.

نسخه‌های نصب‌کننده‌ی آسیب‌دیده از ۱۲.۵.۰.۲۴۲۱ تا ۱۲.۵.۰.۲۴۳۴ متغیر بودند و فعالیت مخرب آن‌ها به ۸ آوریل ۲۰۲۶ برمی‌گشت. فقط نسخه ویندوز این نرم‌افزار تحت تأثیر قرار گرفت، در حالی که نسخه مک آن دست‌نخورده باقی ماند. پس از افشای این حادثه، توسعه‌دهنده AVB Disc Soft نسخه ۱۲.۶.۰.۲۴۴۵ را منتشر کرد که قابلیت‌های مخرب را حذف کرده و به رفع نقص می‌پردازد.

اجزای مخرب پنهان در فرآیندهای قانونی

محققان کشف کردند که مهاجمان سه مؤلفه حیاتی DAEMON Tools را تغییر داده‌اند:

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

هر زمان که هر یک از این فایل‌های باینری اجرا می‌شدند، معمولاً هنگام راه‌اندازی سیستم، یک ایمپلنت پنهان را روی دستگاه آلوده فعال می‌کردند. این ایمپلنت با یک دامنه خارجی، env-check.daemontools.cc که در تاریخ ۲۷ مارس ۲۰۲۶ ثبت شده بود، ارتباط برقرار می‌کرد تا دستورات shell اجرا شده از طریق فرآیند cmd.exe ویندوز را بازیابی کند.

دستورات دانلود شده باعث استقرار بدافزارهای اضافی شدند و به مهاجمان این امکان را دادند که کنترل خود را بر سیستم‌های آسیب‌دیده گسترش دهند و در عین حال در رفتار نرم‌افزار مورد اعتماد پنهان بمانند.

استقرار چند مرحله‌ای بدافزار، زنگ خطر را به صدا درآورده است

زنجیره حمله شامل چندین پیلود ثانویه بود که برای شناسایی، پایداری و کنترل از راه دور طراحی شده بودند. در میان فایل‌های مستقر شده موارد زیر وجود داشت:

envchk.exe — یک ابزار شناسایی مبتنی بر .NET که قادر به جمع‌آوری اطلاعات دقیق سیستم است.
cdg.exe و cdg.tmp — اجزایی که برای رمزگشایی و راه‌اندازی یک درِ پشتی سبک وزن که قادر به دانلود فایل‌ها، اجرای دستورات shell و اجرای مستقیم shellcode در حافظه است، استفاده می‌شوند.

تحلیلگران امنیتی همچنین توزیع یک تروجان دسترسی از راه دور به نام QUIC RAT را شناسایی کردند. این بدافزار از روش‌های ارتباطی متعدد Command-and-Control (C2) از جمله HTTP، TCP، UDP، DNS، WSS، QUIC و HTTP/3 پشتیبانی می‌کند. علاوه بر این، می‌تواند بارهای مخرب را به فرآیندهای قانونی ویندوز مانند notepad.exe و conhost.exe تزریق کند و تشخیص آن را به طور قابل توجهی دشوارتر کند.

هزاران نفر در معرض خطر هستند، اما فقط قربانیان منتخب هدف قرار می‌گیرند

محققان چندین هزار تلاش برای آلوده‌سازی مرتبط با نصب‌کننده‌های آلوده را در بیش از ۱۰۰ کشور، از جمله روسیه، برزیل، ترکیه، آلمان، فرانسه، ایتالیا، اسپانیا و چین مشاهده کردند. با وجود ردپای گسترده آلودگی، تنها تعداد محدودی از سیستم‌ها این بار داده‌ی پیشرفته‌ی درب پشتی را دریافت کردند که نشان دهنده‌ی یک استراتژی هدف‌گیری بسیار گزینشی است.

بدافزار بعدی در سازمان‌هایی که در بخش‌های خرده‌فروشی، تحقیقات علمی، دولتی، تولیدی و آموزشی در سراسر روسیه، بلاروس و تایلند فعالیت می‌کردند، شناسایی شد. یکی از آلودگی‌های تأیید شده‌ی QUIC RAT به‌طور خاص یک مؤسسه‌ی آموزشی در روسیه را هدف قرار داد.

این استقرار گزینشی قویاً نشان می‌دهد که این کمپین برای هدف‌گیری دقیق طراحی شده است، نه برای آلودگی گسترده و بی‌هدف. با این حال، محققان هنوز مشخص نکرده‌اند که آیا مهاجمان قصد انجام عملیات جاسوسی سایبری یا حملات «شکار بزرگ» با انگیزه مالی را داشته‌اند یا خیر.

شواهد به یک عامل تهدید پیچیده چینی زبان اشاره دارد

اگرچه هیچ گروه تهدید شناخته‌شده‌ای رسماً به این عملیات مرتبط نشده است، اما تجزیه و تحلیل‌های قانونی از آثار بدافزار، نشان‌دهنده‌ی دخالت یک دشمن چینی‌زبان است. پیچیدگی این نفوذ، همراه با توانایی به خطر انداختن نرم‌افزار امضا شده که از طریق یک کانال رسمی فروشنده توزیع شده است، قابلیت‌های تهاجمی پیشرفته و برنامه‌ریزی عملیاتی بلندمدت را نشان می‌دهد.

نفوذ به DAEMON Tools به موج رو به رشد حملات زنجیره تأمین نرم‌افزار که در نیمه اول سال ۲۰۲۶ مشاهده شده است، می‌پیوندد. حوادث مشابه قبلاً eScan را در ژانویه، Notepad++ را در فوریه و CPUID را در آوریل تحت تأثیر قرار داده بودند.

چرا حملات زنجیره تأمین بسیار خطرناک هستند؟

نفوذ به زنجیره تأمین همچنان خطرناک است، زیرا از اعتماد ذاتی کاربران به فروشندگان نرم‌افزار قانونی سوءاستفاده می‌کند. برنامه‌هایی که مستقیماً از وب‌سایت‌های رسمی دانلود شده و با گواهی‌های دیجیتال معتبر امضا شده‌اند، به ندرت توسط کاربران یا محصولات امنیتی مشکوک تلقی می‌شوند.

در این مورد، طبق گزارش‌ها، فعالیت مخرب تقریباً به مدت یک ماه ناشناخته باقی ماند که هم پیچیدگی مهاجمان و هم محدودیت‌های دفاع‌های امنیتی مبتنی بر محیط سنتی را برجسته می‌کند. متخصصان امنیتی تأکید می‌کنند که سازمان‌هایی که از نسخه‌های آسیب‌دیده DAEMON Tools استفاده می‌کنند، باید فوراً سیستم‌های آسیب‌دیده را ایزوله کرده و عملیات جامع شکار تهدید را برای شناسایی حرکات جانبی احتمالی یا فعالیت‌های مخرب اضافی در شبکه‌های سازمانی انجام دهند.

پاسخ فروشنده و مراحل کاهش خطر پیشنهادی

شرکت AVB Disc Soft اظهار داشت که ظاهراً این نقض امنیتی محدود به نسخه Lite نرم‌افزار است و تأیید کرد که تحقیقات برای تعیین دامنه کامل و علت اصلی این حادثه در حال انجام است.

به کاربرانی که در بازه زمانی تحت تأثیر، نسخه ۱۲.۵.۱ نرم‌افزار DAEMON Tools Lite را دانلود یا نصب کرده‌اند، اکیداً توصیه می‌شود که فوراً نرم‌افزار را حذف کنند، با استفاده از ابزارهای امنیتی معتبر، یک اسکن کامل آنتی‌ویروس و امنیت نقطه پایانی انجام دهند و فقط آخرین نسخه پاک‌شده را که مستقیماً از وب‌سایت رسمی DAEMON Tools دریافت کرده‌اند، دوباره نصب کنند.