Атака на цепочку поставок с использованием инструментов DAEMON
Исследователи в области кибербезопасности обнаружили сложную атаку на цепочку поставок, связанную с установщиками DAEMON Tools. Злоумышленники успешно взломали официальные установщики Windows, распространяемые через легитимный веб-сайт DAEMON Tools, внедрив вредоносный код в программные пакеты с цифровой подписью. Поскольку установщики содержали подлинные сертификаты разработчиков, вредоносное ПО выглядело заслуживающим доверия и легко обходило традиционные средства защиты.
Взломанные версии установщика варьировались от 12.5.0.2421 до 12.5.0.2434, а вредоносная активность была отслежена до 8 апреля 2026 года. Пострадала только версия программного обеспечения для Windows, в то время как версия для Mac осталась нетронутой. После сообщения об инциденте разработчик AVB Disc Soft выпустил версию 12.6.0.2445, которая удаляет вредоносный функционал и устраняет уязвимость.
Оглавление
Вредоносные компоненты, скрытые внутри легитимных процессов.
Следователи обнаружили, что злоумышленники модифицировали три критически важных компонента DAEMON Tools:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
При каждом запуске любого из этих исполняемых файлов, как правило, во время загрузки системы, они активировали скрытый имплант на зараженной машине. Имплант взаимодействовал с внешним доменом env-check.daemontools.cc, зарегистрированным 27 марта 2026 года, для получения команд оболочки, выполняемых через процесс Windows cmd.exe.
Загруженные команды инициировали развертывание дополнительного вредоносного ПО, позволяя злоумышленникам расширить контроль над скомпрометированными системами, оставаясь при этом скрытыми в рамках работы доверенного программного обеспечения.
Многоэтапное развертывание вредоносного ПО вызывает тревогу.
Цепочка атак включала несколько дополнительных полезных нагрузок, предназначенных для разведки, обеспечения постоянного присутствия в системе и удаленного управления. Среди развернутых файлов были:
envchk.exe — инструмент разведки на основе .NET, способный собирать подробную информацию о системе.
cdg.exe и cdg.tmp — компоненты, используемые для расшифровки и запуска легковесного бэкдора, способного загружать файлы, выполнять команды оболочки и запускать шеллкод непосредственно в памяти.
Аналитики по безопасности также выявили распространение трояна удаленного доступа, известного как QUIC RAT. Вредоносная программа поддерживает множество методов связи управления и контроля (C2), включая HTTP, TCP, UDP, DNS, WSS, QUIC и HTTP/3. Кроме того, она может внедрять вредоносные программы в легитимные процессы Windows, такие как notepad.exe и conhost.exe, что значительно затрудняет обнаружение.
Тысячи людей разоблачены, но мишенью стали лишь избранные жертвы.
Исследователи зафиксировали несколько тысяч попыток заражения, связанных с скомпрометированными установщиками, в более чем 100 странах, включая Россию, Бразилию, Турцию, Германию, Францию, Италию, Испанию и Китай. Несмотря на широкое распространение инфекции, лишь ограниченное количество систем получило продвинутый бэкдор, что указывает на крайне избирательную стратегию атаки.
Последующее распространение вредоносного ПО было обнаружено в организациях, работающих в розничной торговле, научных исследованиях, государственном секторе, производстве и образовании в России, Беларуси и Таиланде. Один подтвержденный случай заражения QUIC RAT был направлен конкретно на образовательное учреждение в России.
Такое избирательное развертывание убедительно свидетельствует о том, что кампания была разработана для точного поражения целей, а не для неизбирательного массового заражения. Однако исследователи пока не установили, намеревались ли злоумышленники проводить операции кибершпионажа или же преследовали финансовые мотивы, участвуя в «охоте на крупную дичь».
Имеющиеся данные указывают на наличие изощренного китайскоязычного злоумышленника.
Хотя ни одна известная группа злоумышленников официально не была связана с этой операцией, криминалистический анализ вредоносных программ указывает на причастность противника, говорящего на китайском языке. Сложность вторжения в сочетании со способностью скомпрометировать подписанное программное обеспечение, распространяемое через официальный канал поставщика, демонстрирует передовые наступательные возможности и долгосрочное оперативное планирование.
Взлом DAEMON Tools пополнил растущую волну атак на цепочки поставок программного обеспечения, наблюдавшуюся в первой половине 2026 года. Аналогичные инциденты ранее затронули eScan в январе, Notepad++ в феврале и CPUID в апреле.
Почему атаки на цепочки поставок так опасны
Компрометация цепочки поставок остается особенно опасной, поскольку она использует в своих целях доверие, которое пользователи оказывают легитимным поставщикам программного обеспечения. Приложения, загруженные непосредственно с официальных веб-сайтов и подписанные действительными цифровыми сертификатами, редко воспринимаются пользователями или средствами безопасности как подозрительные.
В данном случае, как сообщается, вредоносная активность оставалась незамеченной почти месяц, что подчеркивает как изощренность злоумышленников, так и ограничения традиционных средств защиты периметра. Специалисты по безопасности подчеркивают, что организациям, использующим затронутые версии DAEMON Tools, следует немедленно изолировать затронутые системы и провести всесторонние операции по поиску угроз для выявления возможного горизонтального перемещения или дополнительной вредоносной активности в корпоративных сетях.
Ответ поставщика и рекомендуемые меры по устранению проблемы.
Компания AVB Disc Soft заявила, что, по всей видимости, утечка данных затронула только облегченную версию программного обеспечения, и подтвердила, что ведется расследование для определения полного масштаба и первопричины инцидента.
Пользователям, которые загрузили или установили DAEMON Tools Lite версии 12.5.1 в указанный период времени, настоятельно рекомендуется немедленно удалить программное обеспечение, выполнить полное сканирование антивирусом и системой безопасности конечных устройств с использованием надежных средств защиты и переустановить только последнюю чистую версию, полученную непосредственно с официального сайта DAEMON Tools.
