Serangan Rantaian Bekalan Alat DAEMON
Penyelidik keselamatan siber telah menemui serangan rantaian bekalan yang canggih yang melibatkan pemasang DAEMON Tools. Pelakon ancaman berjaya menjejaskan pemasang Windows rasmi yang diedarkan melalui laman web DAEMON Tools yang sah, dengan memasukkan kod berniat jahat ke dalam pakej perisian yang ditandatangani secara digital. Oleh kerana pemasang membawa sijil pembangun yang sah, perisian hasad tersebut kelihatan boleh dipercayai dan mudah memintas pertahanan keselamatan konvensional.
Versi pemasang yang dikompromi adalah dari 12.5.0.2421 hingga 12.5.0.2434, dengan aktiviti berniat jahat yang dikesan kembali ke 8 April 2026. Hanya edisi Windows perisian tersebut yang terjejas, manakala versi Mac kekal tidak disentuh. Berikutan pendedahan insiden itu, pembangun AVB Disc Soft mengeluarkan versi 12.6.0.2445, yang mengalih keluar fungsi berniat jahat dan menangani pelanggaran tersebut.
Isi kandungan
Komponen Berniat Jahat Tersembunyi Di Dalam Proses Sah
Penyiasat mendapati bahawa penyerang telah mengubah suai tiga komponen penting DAEMON Tools:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Setiap kali mana-mana binari ini dilancarkan, biasanya semasa permulaan sistem, ia mengaktifkan implan tersembunyi pada mesin yang dijangkiti. Implan tersebut berkomunikasi dengan domain luaran, env-check.daemontools.cc, yang didaftarkan pada 27 Mac 2026, untuk mendapatkan arahan shell yang dilaksanakan melalui proses cmd.exe Windows.
Arahan yang dimuat turun mencetuskan penggunaan perisian hasad tambahan, membolehkan penyerang meluaskan kawalan ke atas sistem yang dikompromi sambil kekal tersembunyi dalam tingkah laku perisian yang dipercayai.
Pelaksanaan Perisian Hasad Berbilang Peringkat Menimbulkan Penggera
Rantaian serangan melibatkan beberapa muatan sekunder yang direka untuk peninjauan, kegigihan dan kawalan jauh. Antara fail yang digunakan ialah:
envchk.exe — alat peninjauan berasaskan .NET yang mampu mengumpul maklumat sistem terperinci.
cdg.exe dan cdg.tmp — komponen yang digunakan untuk menyahsulit dan melancarkan pintu belakang ringan yang mampu memuat turun fail, melaksanakan arahan shell dan menjalankan kod shell terus dalam memori.
Penganalisis keselamatan juga mengenal pasti penghantaran trojan akses jauh yang dikenali sebagai QUIC RAT. Malware ini menyokong pelbagai kaedah komunikasi Perintah dan Kawalan (C2), termasuk HTTP, TCP, UDP, DNS, WSS, QUIC dan HTTP/3. Di samping itu, ia boleh menyuntik muatan berniat jahat ke dalam proses Windows yang sah seperti notepad.exe dan conhost.exe, menjadikan pengesanan jauh lebih sukar.
Beribu-ribu Terdedah, Tetapi Hanya Mangsa Terpilih Yang Disasarkan
Para penyelidik memerhatikan beberapa ribu percubaan jangkitan yang dikaitkan dengan pemasang yang dikompromi di lebih 100 negara, termasuk Rusia, Brazil, Turki, Jerman, Perancis, Itali, Sepanyol dan China. Walaupun terdapat jejak jangkitan yang luas, hanya sebilangan kecil sistem yang menerima muatan pintu belakang lanjutan, menunjukkan strategi penyasaran yang sangat selektif.
Perisian hasad susulan itu dikesan dalam organisasi yang beroperasi dalam sektor runcit, penyelidikan saintifik, kerajaan, pembuatan dan pendidikan di seluruh Rusia, Belarus dan Thailand. Satu jangkitan QUIC RAT yang disahkan menyasarkan institusi pendidikan di Rusia secara khusus.
Penggunaan terpilih ini menunjukkan dengan jelas bahawa kempen tersebut direka untuk penargetan tepat dan bukannya jangkitan besar-besaran yang sembarangan. Walau bagaimanapun, para penyelidik masih belum menentukan sama ada penyerang berhasrat untuk menjalankan operasi pengintipan siber atau serangan 'pemburu haiwan besar' yang bermotifkan kewangan.
Bukti Menunjuk Ke Arah Pelakon Ancaman Berbahasa Cina yang Canggih
Walaupun tiada kumpulan ancaman yang diketahui secara rasmi dikaitkan dengan operasi tersebut, analisis forensik artifak perisian hasad menunjukkan penglibatan daripada musuh yang berbahasa Cina. Kerumitan pencerobohan, digabungkan dengan keupayaan untuk menjejaskan perisian yang ditandatangani yang diedarkan melalui saluran vendor rasmi, menunjukkan keupayaan serangan lanjutan dan perancangan operasi jangka panjang.
Kompromi DAEMON Tools menyertai gelombang serangan rantaian bekalan perisian yang semakin meningkat yang diperhatikan sepanjang separuh pertama tahun 2026. Insiden serupa sebelum ini telah memberi kesan kepada eScan pada Januari, Notepad++ pada Februari dan CPUID pada April.
Mengapa Serangan Rantaian Bekalan Begitu Berbahaya
Kompromi rantaian bekalan kekal sangat berbahaya kerana ia mengeksploitasi kepercayaan sedia ada yang diberikan pengguna kepada vendor perisian yang sah. Aplikasi yang dimuat turun terus dari laman web rasmi dan ditandatangani dengan sijil digital yang sah jarang dianggap mencurigakan oleh pengguna atau produk keselamatan.
Dalam kes ini, aktiviti berniat jahat dilaporkan tidak dikesan selama hampir sebulan, menonjolkan kecanggihan penyerang dan batasan pertahanan keselamatan berasaskan perimeter tradisional. Profesional keselamatan menekankan bahawa organisasi yang menggunakan versi DAEMON Tools yang terjejas harus segera mengasingkan sistem yang terjejas dan menjalankan operasi memburu ancaman yang komprehensif untuk mengenal pasti kemungkinan pergerakan lateral atau aktiviti berniat jahat tambahan dalam rangkaian korporat.
Respons Vendor dan Langkah-langkah Mitigasi yang Disyorkan
AVB Disc Soft menyatakan bahawa pelanggaran itu kelihatan terhad kepada edisi Lite perisian tersebut dan mengesahkan bahawa siasatan yang sedang dijalankan sedang dijalankan untuk menentukan skop penuh dan punca utama kejadian tersebut.
Pengguna yang memuat turun atau memasang DAEMON Tools Lite versi 12.5.1 semasa tempoh masa yang terjejas dinasihatkan untuk mengalih keluar perisian tersebut dengan segera, melakukan imbasan antivirus dan keselamatan titik akhir yang lengkap menggunakan alat keselamatan yang dipercayai dan hanya memasang semula keluaran bersih terkini yang diperoleh terus daripada laman web rasmi DAEMON Tools.
