Atak na łańcuch dostaw DAEMON Tools
Badacze cyberbezpieczeństwa odkryli wyrafinowany atak na łańcuch dostaw, obejmujący instalatory DAEMON Tools. Atakujący z powodzeniem zhakowali oficjalne instalatory systemu Windows, dystrybuowane za pośrednictwem legalnej witryny DAEMON Tools, umieszczając złośliwy kod w cyfrowo podpisanych pakietach oprogramowania. Ponieważ instalatory posiadały autentyczne certyfikaty programistów, złośliwe oprogramowanie wydawało się wiarygodne i z łatwością omijało konwencjonalne zabezpieczenia.
Zainfekowane wersje instalatora obejmowały numery od 12.5.0.2421 do 12.5.0.2434, a szkodliwa aktywność została odkryta 8 kwietnia 2026 roku. Zagrożona była tylko wersja oprogramowania dla systemu Windows, podczas gdy wersja na komputery Mac pozostała nienaruszona. Po ujawnieniu incydentu, deweloper AVB Disc Soft opublikował wersję 12.6.0.2445, która usuwa szkodliwą funkcjonalność i naprawia naruszenie.
Spis treści
Złośliwe komponenty ukryte w legalnych procesach
Śledczy odkryli, że atakujący zmodyfikowali trzy kluczowe komponenty narzędzia DAEMON Tools:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTSellHlp.exe
Za każdym razem, gdy którykolwiek z tych plików binarnych został uruchomiony, zazwyczaj podczas rozruchu systemu, aktywował on ukryty implant na zainfekowanym komputerze. Implant komunikował się z zewnętrzną domeną env-check.daemontools.cc, zarejestrowaną 27 marca 2026 roku, w celu pobrania poleceń powłoki wykonywanych za pośrednictwem procesu cmd.exe systemu Windows.
Pobrane polecenia spowodowały instalację dodatkowego złośliwego oprogramowania, umożliwiając atakującym rozszerzenie kontroli nad zainfekowanymi systemami, przy jednoczesnym ukryciu się pod zaufanym działaniem oprogramowania.
Wieloetapowe wdrażanie złośliwego oprogramowania budzi alarm
Łańcuch ataku obejmował kilka dodatkowych ładunków przeznaczonych do rozpoznania, utrwalania i zdalnego sterowania. Wśród rozlokowanych plików znalazły się:
envchk.exe — narzędzie rozpoznawcze oparte na technologii .NET, które umożliwia zbieranie szczegółowych informacji o systemie.
cdg.exe i cdg.tmp — komponenty służące do odszyfrowywania i uruchamiania lekkiego tylnego wejścia, które potrafi pobierać pliki, wykonywać polecenia powłoki i uruchamiać kod powłoki bezpośrednio w pamięci.
Analitycy bezpieczeństwa zidentyfikowali również trojana zdalnego dostępu znanego jako QUIC RAT. Szkodliwe oprogramowanie obsługuje liczne metody komunikacji typu Command-and-Control (C2), w tym HTTP, TCP, UDP, DNS, WSS, QUIC i HTTP/3. Ponadto może ono wstrzykiwać złośliwe oprogramowanie do legalnych procesów systemu Windows, takich jak notepad.exe i conhost.exe, co znacznie utrudnia jego wykrycie.
Tysiące osób narażonych, ale tylko wybrane ofiary objęte atakiem
Badacze zaobserwowali kilka tysięcy prób infekcji powiązanych z zainfekowanymi instalatorami w ponad 100 krajach, w tym w Rosji, Brazylii, Turcji, Niemczech, Francji, Włoszech, Hiszpanii i Chinach. Pomimo szerokiego zasięgu infekcji, tylko ograniczona liczba systemów otrzymała zaawansowany ładunek backdoor, co wskazuje na wysoce selektywną strategię ataku.
Kolejne złośliwe oprogramowanie zostało wykryte w organizacjach działających w sektorze handlu detalicznego, badań naukowych, administracji publicznej, produkcji i edukacji w Rosji, na Białorusi i w Tajlandii. Jedno potwierdzone zakażenie QUIC RAT dotyczyło konkretnie instytucji edukacyjnej w Rosji.
To selektywne rozmieszczenie zdecydowanie sugeruje, że kampania została zaprojektowana z myślą o precyzyjnym celowaniu, a nie o bezładnej masowej infekcji. Naukowcy nie ustalili jednak jeszcze, czy atakujący zamierzali przeprowadzić operacje cybernetycznego szpiegostwa, czy też ataki motywowane finansowo, mające na celu „polowanie na grubą zwierzynę”.
Dowody wskazują na wyrafinowanego aktora zagrożenia posługującego się językiem chińskim
Chociaż oficjalnie nie powiązano żadnej znanej grupy zagrożeń z tą operacją, analiza kryminalistyczna artefaktów złośliwego oprogramowania sugeruje udział chińskojęzycznego przeciwnika. Złożoność włamania, w połączeniu z możliwością złamania podpisanego oprogramowania dystrybuowanego za pośrednictwem oficjalnego kanału dostawcy, świadczy o zaawansowanych możliwościach ofensywnych i długoterminowym planowaniu operacyjnym.
Atak na DAEMON Tools wpisuje się w rosnącą falę ataków na łańcuchy dostaw oprogramowania obserwowanych w pierwszej połowie 2026 roku. Podobne incydenty dotknęły wcześniej eScan w styczniu, Notepad++ w lutym i CPUID w kwietniu.
Dlaczego ataki na łańcuchy dostaw są tak niebezpieczne
Naruszenia łańcucha dostaw pozostają szczególnie niebezpieczne, ponieważ wykorzystują zaufanie, jakim użytkownicy darzą legalnych dostawców oprogramowania. Aplikacje pobrane bezpośrednio z oficjalnych stron internetowych i podpisane ważnymi certyfikatami cyfrowymi rzadko są traktowane jako podejrzane przez użytkowników lub programy zabezpieczające.
W tym przypadku złośliwa aktywność pozostała niewykryta przez prawie miesiąc, co uwydatnia zarówno wyrafinowanie atakujących, jak i ograniczenia tradycyjnych zabezpieczeń obwodowych. Specjaliści ds. bezpieczeństwa podkreślają, że organizacje korzystające z zainfekowanych wersji narzędzi DAEMON Tools powinny natychmiast odizolować zainfekowane systemy i przeprowadzić kompleksowe operacje wykrywania zagrożeń w celu zidentyfikowania potencjalnego ruchu bocznego lub dodatkowej złośliwej aktywności w sieciach korporacyjnych.
Reakcja dostawcy i zalecane środki zaradcze
Firma AVB Disc Soft oświadczyła, że naruszenie najprawdopodobniej dotyczy wyłącznie wersji Lite oprogramowania i potwierdziła, że trwają prace dochodzeniowe mające na celu ustalenie pełnego zakresu i pierwotnej przyczyny incydentu.
Użytkownikom, którzy pobrali lub zainstalowali wersję 12.5.1 programu DAEMON Tools Lite w okresie objętym epidemią, stanowczo zaleca się natychmiastowe usunięcie oprogramowania, przeprowadzenie pełnego skanowania antywirusowego i bezpieczeństwa punktów końcowych przy użyciu zaufanych narzędzi zabezpieczających, a następnie ponowną instalację wyłącznie najnowszej czystej wersji pobranej bezpośrednio z oficjalnej witryny internetowej DAEMON Tools.
