DAEMON Tools piegādes ķēdes uzbrukums
Kiberdrošības pētnieki ir atklājuši sarežģītu piegādes ķēdes uzbrukumu, kurā iesaistīti DAEMON Tools instalētāji. Draudiem veiksmīgi izdevās apdraudēt oficiālos Windows instalētājus, kas tika izplatīti, izmantojot likumīgo DAEMON Tools vietni, iestrādājot ļaunprātīgu kodu digitāli parakstītās programmatūras pakotnēs. Tā kā instalētājiem bija autentiski izstrādātāju sertifikāti, ļaunprogrammatūra šķita uzticama un viegli apiet tradicionālās drošības aizsardzības.
Apdraudētās instalētāja versijas bija no 12.5.0.2421 līdz 12.5.0.2434, un ļaunprātīga darbība tika izsekota līdz 2026. gada 8. aprīlim. Tika skarta tikai programmatūras Windows versija, savukārt Mac versija palika neskarta. Pēc incidenta atklāšanas izstrādātājs AVB Disc Soft izlaida versiju 12.6.0.2445, kas noņem ļaunprātīgo funkcionalitāti un novērš pārkāpumu.
Satura rādītājs
Ļaunprātīgas komponentes, kas paslēptas likumīgos procesos
Izmeklētāji atklāja, ka uzbrucēji modificēja trīs kritiski svarīgus DAEMON Tools komponentus:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Ikreiz, kad kāds no šiem binārajiem failiem tika palaists, parasti sistēmas startēšanas laikā, tie inficētajā datorā aktivizēja slēptu implantu. Implants sazinājās ar ārēju domēnu env-check.daemontools.cc, kas reģistrēts 2026. gada 27. martā, lai izgūtu čaulas komandas, kas izpildītas, izmantojot Windows cmd.exe procesu.
Lejupielādētās komandas izraisīja papildu ļaunprogrammatūras izvietošanu, ļaujot uzbrucējiem paplašināt kontroli pār apdraudētajām sistēmām, vienlaikus paliekot slēptiem uzticamas programmatūras darbībā.
Daudzpakāpju ļaunprogrammatūras izvietošana rada trauksmi
Uzbrukuma ķēdē bija iesaistītas vairākas sekundāras slodzes, kas paredzētas izlūkošanai, noturībai un tālvadībai. Starp izvietotajiem failiem bija:
envchk.exe — uz .NET balstīts izlūkošanas rīks, kas spēj apkopot detalizētu sistēmas informāciju.
cdg.exe un cdg.tmp — komponenti, ko izmanto, lai atšifrētu un palaistu vieglu aizmugurējo durvju rīku, kas spēj lejupielādēt failus, izpildīt čaulas komandas un palaist čaulas kodu tieši atmiņā.
Drošības analītiķi arī identificēja attālās piekļuves Trojas zirga, kas pazīstams kā QUIC RAT, piegādi. Ļaunprogramma atbalsta daudzas komandu un vadības (C2) saziņas metodes, tostarp HTTP, TCP, UDP, DNS, WSS, QUIC un HTTP/3. Turklāt tā var ievadīt ļaunprātīgu slodzi likumīgos Windows procesos, piemēram, notepad.exe un conhost.exe, ievērojami apgrūtinot atklāšanu.
Tūkstošiem atmaskoti, bet mērķtiecīgi izvēlēti tikai atlasīti upuri
Pētnieki novēroja vairākus tūkstošus inficēšanas mēģinājumu, kas saistīti ar apdraudētajiem instalētājiem, vairāk nekā 100 valstīs, tostarp Krievijā, Brazīlijā, Turcijā, Vācijā, Francijā, Itālijā, Spānijā un Ķīnā. Neskatoties uz plašo inficēšanās izplatību, tikai ierobežots skaits sistēmu saņēma uzlaboto aizmugurējo durvju lietderīgo iedarbību, kas norāda uz ļoti selektīvu mērķēšanas stratēģiju.
Turpmākā ļaunprogrammatūra tika atklāta organizācijās, kas darbojas mazumtirdzniecības, zinātniskās pētniecības, valdības, ražošanas un izglītības nozarēs visā Krievijā, Baltkrievijā un Taizemē. Viens apstiprināts QUIC RAT infekcijas gadījums bija īpaši vērsts pret izglītības iestādi Krievijā.
Šī selektīvā izvietošana spēcīgi liek domāt, ka kampaņa bija paredzēta precīzai mērķēšanai, nevis neselektīvai masveida inficēšanai. Tomēr pētnieki vēl nav noskaidrojuši, vai uzbrucēji bija iecerējuši veikt kiberizlūkošanas operācijas vai finansiāli motivētus "lielo medījumu" uzbrukumus.
Pierādījumi norāda uz izsmalcinātu ķīniešu valodā runājošu draudu aktoru
Lai gan oficiāli ar operāciju nav saistīta neviena zināma apdraudējuma grupa, ļaunprogrammatūras artefaktu kriminālistiskā analīze liecina par ķīniešu valodā runājoša pretinieka iesaistīšanos. Ielaušanās sarežģītība apvienojumā ar spēju apdraudēt parakstītu programmatūru, kas izplatīta, izmantojot oficiālu pārdevēja kanālu, liecina par progresīvām ofensīvām spējām un ilgtermiņa operatīvo plānošanu.
DAEMON Tools kompromitēšana pievienojas pieaugošajam programmatūras piegādes ķēdes uzbrukumu vilnim, kas tika novērots 2026. gada pirmajā pusē. Līdzīgi incidenti iepriekš skāra eScan janvārī, Notepad++ februārī un CPUID aprīlī.
Kāpēc piegādes ķēdes uzbrukumi ir tik bīstami
Piegādes ķēdes kompromitēšana joprojām ir īpaši bīstama, jo tā izmanto lietotāju iekšējo uzticēšanos likumīgiem programmatūras pārdevējiem. Lietotāji vai drošības produkti reti uzskata lietojumprogrammas par aizdomīgām.
Šajā gadījumā ļaunprātīgā darbība, kā ziņots, gandrīz mēnesi palika neatklāta, kas uzsver gan uzbrucēju izsmalcinātību, gan tradicionālo perimetra drošības aizsardzības līdzekļu ierobežojumus. Drošības speciālisti uzsver, ka organizācijām, kas izmanto skartās DAEMON Tools versijas, nekavējoties jāizolē skartās sistēmas un jāveic visaptverošas draudu meklēšanas operācijas, lai identificētu iespējamu sānu kustību vai papildu ļaunprātīgu darbību korporatīvajos tīklos.
Pārdevēja atbilde un ieteicamie mazināšanas pasākumi
AVB Disc Soft paziņoja, ka pārkāpums, šķiet, attiecas tikai uz programmatūras Lite versiju, un apstiprināja, ka notiek izmeklēšana, lai noteiktu incidenta pilnu apmēru un pamatcēloni.
Lietotājiem, kuri attiecīgajā laika posmā lejupielādēja vai instalēja DAEMON Tools Lite 12.5.1 versiju, stingri ieteicams nekavējoties noņemt programmatūru, veikt pilnīgu pretvīrusu un galapunktu drošības skenēšanu, izmantojot uzticamus drošības rīkus, un atkārtoti instalēt tikai jaunāko tīro versiju, kas iegūta tieši no oficiālās DAEMON Tools vietnes.
