DAEMON Tools tiekimo grandinės ataka
Kibernetinio saugumo tyrėjai atskleidė sudėtingą tiekimo grandinės ataką, susijusią su „DAEMON Tools“ diegimo programomis. Kibernetinio saugumo veikėjai sėkmingai įsilaužė į oficialias „Windows“ diegimo programas, platinamas per teisėtą „DAEMON Tools“ svetainę, įterpdami kenkėjišką kodą į skaitmeniniu būdu pasirašytus programinės įrangos paketus. Kadangi diegimo programos turėjo autentiškus kūrėjų sertifikatus, kenkėjiška programa atrodė patikima ir lengvai apeidavo įprastas saugumo priemones.
Pažeistų diegimo programų versijos svyravo nuo 12.5.0.2421 iki 12.5.0.2434, o kenkėjiška veikla buvo siejama su 2026 m. balandžio 8 d. Buvo paveikta tik „Windows“ versija, o „Mac“ versija liko nepakeista. Atskleidus incidentą, kūrėjas „AVB Disc Soft“ išleido 12.6.0.2445 versiją, kurioje pašalinamos kenkėjiškos funkcijos ir išsprendžiama pažeidimo problema.
Turinys
Kenkėjiški komponentai, paslėpti teisėtuose procesuose
Tyrėjai nustatė, kad užpuolikai modifikavo tris svarbius „DAEMON Tools“ komponentus:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Kai tik paleidžiamas bet kuris iš šių dvejetainių failų, paprastai sistemos paleidimo metu, jie aktyvuodavo paslėptą implantą užkrėstame kompiuteryje. Implantas susisiekdavo su išoriniu domenu env-check.daemontools.cc, užregistruotu 2026 m. kovo 27 d., kad gautų apvalkalo komandas, vykdomas per „Windows cmd.exe“ procesą.
Atsisiųstos komandos suaktyvino papildomą kenkėjiškų programų diegimą, leisdamos užpuolikams išplėsti pažeistų sistemų kontrolę, tuo pačiu metu pasislėpus patikimoje programinėje įrangoje.
Daugiapakopis kenkėjiškų programų diegimas kelia nerimą
Atakos grandinėje buvo naudojami keli antriniai naudingieji failai, skirti žvalgybai, duomenų persistencijai ir nuotoliniam valdymui. Tarp panaudotų failų buvo:
envchk.exe – .NET pagrindu sukurta žvalgybos priemonė, galinti rinkti išsamią sistemos informaciją.
cdg.exe ir cdg.tmp – komponentai, naudojami iššifruoti ir paleisti lengvą užpakalinę durelę, galinčią atsisiųsti failus, vykdyti apvalkalo komandas ir paleisti apvalkalo kodą tiesiai atmintyje.
Saugumo analitikai taip pat nustatė nuotolinės prieigos Trojos arklio, žinomo kaip QUIC RAT, pristatymą. Kenkėjiška programa palaiko daugybę komandų ir valdymo (C2) ryšio metodų, įskaitant HTTP, TCP, UDP, DNS, WSS, QUIC ir HTTP/3. Be to, ji gali įterpti kenkėjiškų programų į teisėtus „Windows“ procesus, tokius kaip notepad.exe ir conhost.exe, todėl aptikimą gerokai apsunkina.
Tūkstančiai nukentėjusiųjų, bet taikiniais tapo tik atrinktos aukos
Tyrėjai pastebėjo kelis tūkstančius bandymų užkrėsti programas daugiau nei 100 šalių, įskaitant Rusiją, Braziliją, Turkiją, Vokietiją, Prancūziją, Italiją, Ispaniją ir Kiniją. Nepaisant plataus užkrėtimo paplitimo, tik ribotas skaičius sistemų gavo pažangią „backdoor“ viruso apsaugą, o tai rodo labai selektyvią taikinio strategiją.
Vėlesnė kenkėjiška programa buvo aptikta organizacijose, veikiančiose mažmeninės prekybos, mokslinių tyrimų, vyriausybės, gamybos ir švietimo sektoriuose visoje Rusijoje, Baltarusijoje ir Tailande. Viena patvirtinta QUIC RAT infekcija buvo specialiai nukreipta į švietimo įstaigą Rusijoje.
Šis selektyvus dislokavimas rodo, kad kampanija buvo sukurta tiksliam taikymui, o ne beatodairiškam masiniam užkrėtimui. Tačiau tyrėjai dar nenustatė, ar užpuolikai ketino vykdyti kibernetinio šnipinėjimo operacijas, ar finansiškai motyvuotas „didelių žvėrių medžioklės“ atakas.
Įrodymai rodo, kad grėsmės skleidėjas yra įgudęs kiniškai kalbantis veikėjas
Nors oficialiai su operacija nebuvo susieta jokia žinoma grėsmių grupė, kenkėjiškų programų artefaktų teismo ekspertizės analizė rodo, kad joje dalyvavo kiniškai kalbantis priešininkas. Įsilaužimo sudėtingumas kartu su galimybe pažeisti pasirašytą programinę įrangą, platinamą per oficialų tiekėjo kanalą, rodo pažangius puolimo pajėgumus ir ilgalaikį operacijų planavimą.
„DAEMON Tools“ ataka prisijungia prie augančios programinės įrangos tiekimo grandinės atakų bangos, pastebėtos per pirmąjį 2026 m. pusmetį. Panašūs incidentai anksčiau paveikė „eScan“ sausio mėnesį, „Notepad++“ vasarį ir „CPUID“ balandžio mėnesį.
Kodėl tiekimo grandinės atakos yra tokios pavojingos
Tiekimo grandinės pažeidimai išlieka ypač pavojingi, nes jie išnaudoja įgimtą vartotojų pasitikėjimą teisėtais programinės įrangos tiekėjais. Programos, atsisiųstos tiesiai iš oficialių svetainių ir pasirašytos galiojančiais skaitmeniniais sertifikatais, vartotojų ar saugumo produktų retai laikomos įtartinomis.
Šiuo atveju, kaip pranešama, kenkėjiška veikla beveik mėnesį liko nepastebėta, o tai pabrėžia tiek užpuolikų rafinuotumą, tiek tradicinių perimetru pagrįstų saugumo gynybos sistemų apribojimus. Saugumo specialistai pabrėžia, kad organizacijos, naudojančios paveiktas „DAEMON Tools“ versijas, turėtų nedelsdamos izoliuoti paveiktas sistemas ir atlikti išsamias grėsmių paieškos operacijas, kad nustatytų galimą šoninį judėjimą ar papildomą kenkėjišką veiklą įmonių tinkluose.
Pardavėjo atsakas ir rekomenduojami švelninimo veiksmai
„AVB Disc Soft“ pareiškė, kad pažeidimas, regis, apsiriboja programinės įrangos „Lite“ versija, ir patvirtino, kad vyksta tyrimas, siekiant nustatyti visą incidento mastą ir pagrindinę priežastį.
Vartotojams, kurie per atitinkamą laikotarpį atsisiuntė arba įdiegė „DAEMON Tools Lite 12.5.1“ versiją, primygtinai rekomenduojama nedelsiant pašalinti programinę įrangą, atlikti išsamų antivirusinės ir galinių įrenginių saugumo nuskaitymą naudojant patikimus saugos įrankius ir iš naujo įdiegti tik naujausią švarią versiją, gautą tiesiai iš oficialios „DAEMON Tools“ svetainės.
