डेमन उपकरण आपूर्ति श्रृंखला आक्रमण

साइबर सुरक्षा अनुसन्धानकर्ताहरूले DAEMON Tools स्थापनाकर्ताहरू संलग्न एक परिष्कृत आपूर्ति श्रृंखला आक्रमण पत्ता लगाएका छन्। धम्की दिने व्यक्तिहरूले वैध DAEMON Tools वेबसाइट मार्फत वितरित आधिकारिक Windows स्थापनाकर्ताहरूलाई सफलतापूर्वक सम्झौता गरे, डिजिटल रूपमा हस्ताक्षरित सफ्टवेयर प्याकेजहरूमा दुर्भावनापूर्ण कोड इम्बेड गरे। स्थापनाकर्ताहरूले प्रामाणिक विकासकर्ता प्रमाणपत्रहरू बोकेका हुनाले, मालवेयर विश्वसनीय देखिन्थ्यो र परम्परागत सुरक्षा प्रतिरक्षाहरूलाई सजिलै बाइपास गर्थ्यो।

सम्झौता गरिएका स्थापनाकर्ता संस्करणहरू १२.५.०.२४२१ देखि १२.५.०.२४३४ सम्मका थिए, जसमा दुर्भावनापूर्ण गतिविधि अप्रिल ८, २०२६ सम्म पत्ता लागेको थियो। सफ्टवेयरको विन्डोज संस्करण मात्र प्रभावित भएको थियो, जबकि म्याक संस्करण अछुतो रह्यो। घटनाको खुलासा पछि, विकासकर्ता AVB डिस्क सफ्टले संस्करण १२.६.०.२४४५ जारी गर्‍यो, जसले दुर्भावनापूर्ण कार्यक्षमता हटाउँछ र उल्लंघनलाई सम्बोधन गर्दछ।

वैध प्रक्रियाहरू भित्र लुकेका दुर्भावनापूर्ण घटकहरू

अनुसन्धानकर्ताहरूले पत्ता लगाए कि आक्रमणकारीहरूले तीन महत्वपूर्ण DAEMON उपकरण घटकहरू परिमार्जन गरेका थिए:

• DTHelper.exe प्रयोग गर्न सजिलो
• डिस्कसफ्टबससर्भिसलाइट.एक्सई
• DTShellHlp.exe प्रयोग गर्न सजिलो

जब यी मध्ये कुनै पनि बाइनरीहरू सुरु हुन्थ्यो, सामान्यतया प्रणाली स्टार्टअपको समयमा, तिनीहरूले संक्रमित मेसिनमा लुकेको इम्प्लान्ट सक्रिय गर्थे। इम्प्लान्टले विन्डोज cmd.exe प्रक्रिया मार्फत कार्यान्वयन गरिएका शेल आदेशहरू पुन: प्राप्त गर्न मार्च २७, २०२६ मा दर्ता गरिएको बाह्य डोमेन, env-check.daemontools.cc सँग सम्पर्क गर्थ्यो।

डाउनलोड गरिएका आदेशहरूले थप मालवेयर तैनातीलाई ट्रिगर गर्‍यो, जसले गर्दा आक्रमणकारीहरूले विश्वसनीय सफ्टवेयर व्यवहार भित्र लुकेर सम्झौता गरिएका प्रणालीहरूमा नियन्त्रण विस्तार गर्न सक्षम भए।

बहु-चरण मालवेयर तैनातीले अलार्म बढाउँछ

आक्रमण श्रृंखलामा जासूसी, दृढता, र रिमोट कन्ट्रोलको लागि डिजाइन गरिएका धेरै माध्यमिक पेलोडहरू समावेश थिए। तैनाथ गरिएका फाइलहरू मध्ये निम्न थिए:

envchk.exe — विस्तृत प्रणाली जानकारी सङ्कलन गर्न सक्षम .NET-आधारित टोही उपकरण।
cdg.exe र cdg.tmp — फाइलहरू डाउनलोड गर्न, शेल आदेशहरू कार्यान्वयन गर्न, र मेमोरीमा सिधै शेलकोड चलाउन सक्षम हल्का ब्याकडोर डिक्रिप्ट गर्न र सुरु गर्न प्रयोग गरिने कम्पोनेन्टहरू।

सुरक्षा विश्लेषकहरूले QUIC RAT भनेर चिनिने रिमोट एक्सेस ट्रोजनको डेलिभरी पनि पहिचान गरे। मालवेयरले HTTP, TCP, UDP, DNS, WSS, QUIC, र HTTP/3 सहित धेरै कमाण्ड-एन्ड-कन्ट्रोल (C2) सञ्चार विधिहरूलाई समर्थन गर्दछ। यसको अतिरिक्त, यसले notepad.exe र conhost.exe जस्ता वैध विन्डोज प्रक्रियाहरूमा दुर्भावनापूर्ण पेलोडहरू इन्जेक्ट गर्न सक्छ, जसले गर्दा पत्ता लगाउन धेरै गाह्रो हुन्छ।

हजारौं पर्दाफास भए, तर छानिएका पीडितहरूलाई मात्र लक्षित गरियो

अनुसन्धानकर्ताहरूले रूस, ब्राजिल, टर्की, जर्मनी, फ्रान्स, इटाली, स्पेन र चीन लगायत १०० भन्दा बढी देशहरूमा सम्झौता गरिएका स्थापनाकर्ताहरूसँग जोडिएका हजारौं संक्रमण प्रयासहरू अवलोकन गरे। व्यापक संक्रमण पदचिह्नको बावजुद, सीमित संख्यामा प्रणालीहरूले मात्र उन्नत ब्याकडोर पेलोड प्राप्त गरे, जसले अत्यधिक छनौट लक्ष्यीकरण रणनीतिलाई संकेत गर्दछ।

रूस, बेलारुस र थाइल्याण्डभरि खुद्रा, वैज्ञानिक अनुसन्धान, सरकार, उत्पादन र शैक्षिक क्षेत्रमा सञ्चालन हुने संस्थाहरू भित्र फलो-अन मालवेयर पत्ता लागेको थियो। एउटा पुष्टि भएको QUIC RAT संक्रमणले विशेष गरी रूसको एक शैक्षिक संस्थालाई लक्षित गरेको थियो।

यो छनौटपूर्ण तैनातीले यो अभियान अन्धाधुन्ध सामूहिक संक्रमणको सट्टा सटीक लक्ष्यीकरणको लागि डिजाइन गरिएको थियो भन्ने कुरा दृढतापूर्वक सुझाव दिन्छ। यद्यपि, अनुसन्धानकर्ताहरूले अझैसम्म यो निर्धारण गरेका छैनन् कि आक्रमणकारीहरूले साइबर जासूसी सञ्चालन गर्ने उद्देश्य राखेका थिए वा आर्थिक रूपमा प्रेरित 'ठूलो खेल शिकार' आक्रमणहरू गर्ने थिए।

प्रमाणले परिष्कृत चिनियाँ भाषा बोल्ने धम्की दिने अभिनेतातर्फ औंल्याउँछ

यद्यपि कुनै पनि ज्ञात खतरा समूहलाई आधिकारिक रूपमा अपरेशनसँग जोडिएको छैन, मालवेयर कलाकृतिहरूको फोरेन्सिक विश्लेषणले चिनियाँ भाषा बोल्ने विरोधीको संलग्नतालाई सुझाव दिन्छ। आधिकारिक विक्रेता च्यानल मार्फत वितरित हस्ताक्षरित सफ्टवेयरलाई सम्झौता गर्ने क्षमतासँग मिलेर घुसपैठको जटिलताले उन्नत आपत्तिजनक क्षमताहरू र दीर्घकालीन परिचालन योजना प्रदर्शन गर्दछ।

२०२६ को पहिलो आधामा देखिएको सफ्टवेयर आपूर्ति श्रृंखला आक्रमणहरूको बढ्दो लहरमा DAEMON Tools सम्झौता सामेल हुन्छ। यस्तै घटनाहरूले पहिले जनवरीमा eScan, फेब्रुअरीमा Notepad++ र अप्रिलमा CPUID लाई असर गरेका थिए।

आपूर्ति शृङ्खला आक्रमणहरू किन यति खतरनाक छन्?

आपूर्ति शृङ्खला सम्झौताहरू विशेष गरी खतरनाक रहन्छन् किनभने तिनीहरूले वैध सफ्टवेयर विक्रेताहरूमा प्रयोगकर्ताहरूले राखेको अन्तर्निहित विश्वासको शोषण गर्छन्। आधिकारिक वेबसाइटहरूबाट सिधै डाउनलोड गरिएका र मान्य डिजिटल प्रमाणपत्रहरूसँग हस्ताक्षर गरिएका अनुप्रयोगहरूलाई प्रयोगकर्ताहरू वा सुरक्षा उत्पादनहरूद्वारा विरलै शंकास्पद मानिन्छ।

यस अवस्थामा, दुर्भावनापूर्ण गतिविधि लगभग एक महिनासम्म पत्ता नलागेको रिपोर्ट गरिएको छ, जसले आक्रमणकारीहरूको परिष्कार र परम्परागत परिधि-आधारित सुरक्षा प्रतिरक्षाको सीमितता दुवैलाई हाइलाइट गर्दछ। सुरक्षा पेशेवरहरूले जोड दिन्छन् कि प्रभावित DAEMON उपकरण संस्करणहरू प्रयोग गर्ने संस्थाहरूले तुरुन्तै प्रभावित प्रणालीहरूलाई अलग गर्नुपर्छ र कर्पोरेट नेटवर्कहरू भित्र सम्भावित पार्श्व आन्दोलन वा थप दुर्भावनापूर्ण गतिविधि पहिचान गर्न व्यापक खतरा-शिकार अपरेशनहरू सञ्चालन गर्नुपर्छ।

विक्रेता प्रतिक्रिया र सिफारिस गरिएका न्यूनीकरण चरणहरू

AVB डिस्क सफ्टले यो उल्लंघन सफ्टवेयरको लाइट संस्करणमा सीमित देखिन्छ र घटनाको पूर्ण दायरा र मूल कारण निर्धारण गर्न निरन्तर अनुसन्धान भइरहेको पुष्टि गरेको छ।

प्रभावित समयसीमा भित्र DAEMON Tools Lite संस्करण १२.५.१ डाउनलोड वा स्थापना गर्ने प्रयोगकर्ताहरूलाई तुरुन्तै सफ्टवेयर हटाउन, विश्वसनीय सुरक्षा उपकरणहरू प्रयोग गरेर पूर्ण एन्टिभाइरस र एन्डपोइन्ट सुरक्षा स्क्यान गर्न, र आधिकारिक DAEMON Tools वेबसाइटबाट सिधै प्राप्त गरिएको पछिल्लो क्लिन रिलीज मात्र पुन: स्थापना गर्न कडा सल्लाह दिइन्छ।