DAEMON Tools forsyningskjedeangrep
Forskere på nettsikkerhet har avdekket et sofistikert forsyningskjedeangrep som involverte DAEMON Tools-installasjonsprogrammer. Trusselaktører klarte å kompromittere offisielle Windows-installasjonsprogrammer distribuert gjennom det legitime DAEMON Tools-nettstedet, og innebygde skadelig kode i digitalt signerte programvarepakker. Fordi installasjonsprogrammene hadde autentiske utviklersertifikater, virket skadevaren pålitelig og omgikk enkelt konvensjonelle sikkerhetsforsvar.
De kompromitterte installasjonsversjonene varierte fra 12.5.0.2421 til 12.5.0.2434, med ondsinnet aktivitet sporet tilbake til 8. april 2026. Bare Windows-utgaven av programvaren ble berørt, mens Mac-versjonen forble urørt. Etter at hendelsen ble avslørt, ga utvikleren AVB Disc Soft ut versjon 12.6.0.2445, som fjerner den ondsinnede funksjonaliteten og retter opp sikkerhetsbruddet.
Innholdsfortegnelse
Ondsinnede komponenter skjult i legitime prosesser
Etterforskerne oppdaget at angriperne modifiserte tre kritiske komponenter i DAEMON Tools:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Hver gang noen av disse binærfilene ble startet, vanligvis under systemoppstart, aktiverte de et skjult implantat på den infiserte maskinen. Implantatet kommuniserte med et eksternt domene, env-check.daemontools.cc, registrert 27. mars 2026, for å hente skallkommandoer utført gjennom Windows cmd.exe-prosessen.
De nedlastede kommandoene utløste ytterligere utrulling av skadelig programvare, noe som gjorde det mulig for angripere å utvide kontrollen over kompromitterte systemer samtidig som de forble skjult innenfor pålitelig programvareatferd.
Flertrinns distribusjon av skadelig programvare vekker alarm
Angrepskjeden involverte flere sekundære nyttelaster designet for rekognosering, utholdenhet og fjernkontroll. Blant de utplasserte filene var:
envchk.exe — et .NET-basert rekognoseringsverktøy som er i stand til å samle inn detaljert systeminformasjon.
cdg.exe og cdg.tmp – komponenter som brukes til å dekryptere og starte en lett bakdør som kan laste ned filer, utføre skallkommandoer og kjøre skallkode direkte i minnet.
Sikkerhetsanalytikere identifiserte også levering av en trojaner for ekstern tilgang kjent som QUIC RAT. Skadevaren støtter en rekke kommando-og-kontroll (C2) kommunikasjonsmetoder, inkludert HTTP, TCP, UDP, DNS, WSS, QUIC og HTTP/3. I tillegg kan den injisere skadelige nyttelaster i legitime Windows-prosesser som notepad.exe og conhost.exe, noe som gjør deteksjon betydelig vanskeligere.
Tusenvis avslørt, men bare utvalgte ofre er målrettet
Forskere observerte flere tusen infeksjonsforsøk knyttet til de kompromitterte installatørene i mer enn 100 land, inkludert Russland, Brasil, Tyrkia, Tyskland, Frankrike, Italia, Spania og Kina. Til tross for det store infeksjonsfotavtrykket, mottok bare et begrenset antall systemer den avanserte bakdørsnyttelasten, noe som indikerer en svært selektiv målrettingsstrategi.
Den påfølgende skadelige programvaren ble oppdaget i organisasjoner som opererer innen detaljhandel, vitenskapelig forskning, offentlig sektor, produksjon og utdanning i Russland, Hviterussland og Thailand. Én bekreftet QUIC RAT-infeksjon var spesifikt rettet mot en utdanningsinstitusjon i Russland.
Denne selektive utplasseringen tyder sterkt på at kampanjen var utformet for presisjonsmålretting snarere enn vilkårlig massesmitte. Forskerne har imidlertid ennå ikke fastslått om angriperne hadde til hensikt å utføre cyberspionasjeoperasjoner eller økonomisk motiverte «storviltjaktangrep».
Bevis peker mot en sofistikert kinesisktalende trusselaktør
Selv om ingen kjent trusselgruppe offisielt har blitt knyttet til operasjonen, tyder rettsmedisinske analyser av skadevareartefaktene på involvering fra en kinesisktalende motstander. Kompleksiteten i inntrengingen, kombinert med muligheten til å kompromittere signert programvare distribuert gjennom en offisiell leverandørkanal, demonstrerer avanserte offensive evner og langsiktig operasjonell planlegging.
DAEMON Tools-angrepet føyer seg inn i en økende bølge av angrep på programvareforsyningskjeden som ble observert i løpet av første halvdel av 2026. Lignende hendelser rammet tidligere eScan i januar, Notepad++ i februar og CPUID i april.
Hvorfor angrep i forsyningskjeden er så farlige
Kompromittering av forsyningskjeden er fortsatt spesielt farlig fordi det utnytter den iboende tilliten brukere har til legitime programvareleverandører. Applikasjoner som er lastet ned direkte fra offisielle nettsteder og signert med gyldige digitale sertifikater blir sjelden behandlet som mistenkelige av brukere eller sikkerhetsprodukter.
I dette tilfellet forble den ondsinnede aktiviteten angivelig uoppdaget i nesten en måned, noe som fremhever både angripernes sofistikerte karakter og begrensningene ved tradisjonelle perimeterbaserte sikkerhetsforsvar. Sikkerhetseksperter understreker at organisasjoner som bruker berørte DAEMON Tools-versjoner, umiddelbart bør isolere berørte systemer og gjennomføre omfattende trusseljaktoperasjoner for å identifisere mulig sideveis bevegelse eller ytterligere ondsinnet aktivitet i bedriftsnettverk.
Leverandørrespons og anbefalte tiltak
AVB Disc Soft uttalte at bruddet ser ut til å være begrenset til Lite-utgaven av programvaren, og bekreftet at en pågående etterforskning pågår for å fastslå hele omfanget og underliggende årsak til hendelsen.
Brukere som lastet ned eller installerte DAEMON Tools Lite versjon 12.5.1 i løpet av den berørte tidsrammen, anbefales på det sterkeste å fjerne programvaren umiddelbart, utføre en fullstendig antivirus- og endepunktsikkerhetsskanning med pålitelige sikkerhetsverktøy, og kun installere den nyeste rene versjonen som er hentet direkte fra det offisielle DAEMON Tools-nettstedet, på nytt.
