Napad na dobavno verigo DAEMON Tools
Raziskovalci kibernetske varnosti so odkrili sofisticiran napad v dobavno verigo, v katerega so bili vpleteni namestitveni programi za DAEMON Tools. Grožnje so uspešno ogrozile uradne namestitvene programe za Windows, ki so bili distribuirani prek legitimnega spletnega mesta DAEMON Tools, in v digitalno podpisane programske pakete vdelale zlonamerno kodo. Ker so namestitveni programi imeli pristna razvijalska potrdila, se je zlonamerna programska oprema zdela zaupanja vredna in je zlahka zaobšla običajne varnostne obrambe.
Ogrožene različice namestitvenega programa so segale od 12.5.0.2421 do 12.5.0.2434, zlonamerna dejavnost pa je bila izsledljiva do 8. aprila 2026. Prizadeta je bila le različica programske opreme za Windows, medtem ko je različica za Mac ostala nedotaknjena. Po razkritju incidenta je razvijalec AVB Disc Soft izdal različico 12.6.0.2445, ki odpravlja zlonamerno funkcionalnost in odpravlja kršitev.
Kazalo
Zlonamerne komponente, skrite v legitimnih procesih
Preiskovalci so odkrili, da so napadalci spremenili tri ključne komponente orodja DAEMON Tools:
- DTHelper.exe
- Datoteka DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Kadar koli se je katera od teh binarnih datotek zagnala, običajno med zagonom sistema, je na okuženem računalniku aktivirala skriti vsadek. Vsadek je komuniciral z zunanjo domeno env-check.daemontools.cc, registrirano 27. marca 2026, da bi pridobil ukaze lupine, ki so se izvajali prek procesa cmd.exe sistema Windows.
Preneseni ukazi so sprožili dodatno namestitev zlonamerne programske opreme, kar je napadalcem omogočilo razširitev nadzora nad ogroženimi sistemi, hkrati pa so ostali skriti znotraj zaupanja vrednega delovanja programske opreme.
Večstopenjsko uvajanje zlonamerne programske opreme sproža alarm
Napadalna veriga je vključevala več sekundarnih koristnih tovorov, namenjenih izvidovanju, vztrajnosti in daljinskemu upravljanju. Med uporabljenimi datotekami so bile:
envchk.exe – orodje za izvidovanje, ki temelji na .NET in je sposobno zbirati podrobne sistemske informacije.
cdg.exe in cdg.tmp – komponenti, ki se uporabljata za dešifriranje in zagon lahkih zadnjih vrat, ki lahko prenašajo datoteke, izvajajo ukaze lupine in izvajajo kodo lupine neposredno v pomnilniku.
Varnostni analitiki so odkrili tudi trojanca za oddaljeni dostop, znanega kot QUIC RAT. Zlonamerna programska oprema podpira številne komunikacijske metode Command-and-Control (C2), vključno s HTTP, TCP, UDP, DNS, WSS, QUIC in HTTP/3. Poleg tega lahko v legitimne procese sistema Windows, kot sta notepad.exe in conhost.exe, vbrizga zlonamerne koristne obremenitve, kar znatno oteži odkrivanje.
Na tisoče razkritih, a napadene le izbrane žrtve
Raziskovalci so opazili več tisoč poskusov okužbe, povezanih z ogroženimi namestitvenimi programi v več kot 100 državah, vključno z Rusijo, Brazilijo, Turčijo, Nemčijo, Francijo, Italijo, Španijo in Kitajsko. Kljub širokemu obsegu okužb je le omejeno število sistemov prejelo napredno breme zadnjih vrat, kar kaže na zelo selektivno strategijo ciljanja.
Nadaljnja zlonamerna programska oprema je bila odkrita v organizacijah, ki delujejo v maloprodaji, znanstvenih raziskavah, vladi, proizvodnji in izobraževalnem sektorju po vsej Rusiji, Belorusiji in Tajski. Ena potrjena okužba s QUIC RAT je bila posebej usmerjena na izobraževalno ustanovo v Rusiji.
Ta selektivna namestitev močno kaže na to, da je bila kampanja zasnovana za natančno ciljanje in ne za neselektivno množično okužbo. Vendar pa raziskovalci še niso ugotovili, ali so napadalci nameravali izvajati kibernetske vohunske operacije ali finančno motivirane napade "lova na veliko divjad".
Dokazi kažejo na prefinjenega kitajsko govorečega akterja grožnje
Čeprav nobena znana skupina groženj uradno ni bila povezana z operacijo, forenzična analiza artefaktov zlonamerne programske opreme kaže na vpletenost kitajsko govorečega nasprotnika. Kompleksnost vdora v kombinaciji z zmožnostjo ogrožanja podpisane programske opreme, distribuirane prek uradnega prodajnega kanala, kaže na napredne ofenzivne zmogljivosti in dolgoročno operativno načrtovanje.
Kompromis DAEMON Tools se pridružuje naraščajočemu valu napadov na dobavno verigo programske opreme, ki smo jih opazili v prvi polovici leta 2026. Podobni incidenti so januarja prizadeli eScan, februarja Notepad++ in aprila CPUID.
Zakaj so napadi na dobavno verigo tako nevarni
Kompromisi v dobavni verigi ostajajo še posebej nevarni, ker izkoriščajo prirojeno zaupanje uporabnikov v legitimne prodajalce programske opreme. Aplikacije, prenesene neposredno z uradnih spletnih mest in podpisane z veljavnimi digitalnimi potrdili, uporabniki ali varnostni izdelki le redko obravnavajo kot sumljive.
V tem primeru naj bi zlonamerna dejavnost ostala neodkrita skoraj mesec dni, kar poudarja tako prefinjenost napadalcev kot omejitve tradicionalnih varnostnih obrambnih mehanizmov na perimetru. Varnostni strokovnjaki poudarjajo, da bi morale organizacije, ki uporabljajo prizadete različice orodij DAEMON Tools, takoj izolirati prizadete sisteme in izvesti celovite operacije lova na grožnje, da bi odkrile morebitno lateralno gibanje ali dodatno zlonamerno dejavnost znotraj poslovnih omrežij.
Odziv prodajalca in priporočeni koraki za ublažitev
AVB Disc Soft je izjavil, da je kršitev omejena na izdajo programske opreme Lite, in potrdil, da poteka preiskava za določitev celotnega obsega in vzroka incidenta.
Uporabnikom, ki so v zadevnem časovnem obdobju prenesli ali namestili programsko opremo DAEMON Tools Lite različice 12.5.1, toplo priporočamo, da programsko opremo takoj odstranijo, izvedejo popolno protivirusno in varnostno skeniranje končnih točk z uporabo zaupanja vrednih varnostnih orodij ter ponovno namestijo le najnovejšo čisto različico, pridobljeno neposredno z uradnega spletnega mesta DAEMON Tools.
