Sulmi i Zinxhirit të Furnizimit me DAEMON Tools
Studiuesit e sigurisë kibernetike kanë zbuluar një sulm të sofistikuar të zinxhirit të furnizimit që përfshinte instaluesit e DAEMON Tools. Aktorët kërcënues kompromentuan me sukses instaluesit zyrtarë të Windows të shpërndarë përmes faqes së internetit legjitime të DAEMON Tools, duke futur kod të dëmshëm në paketa softuerësh të nënshkruara dixhitalisht. Meqenëse instaluesit mbanin certifikata autentike të zhvilluesit, programi keqdashës dukej i besueshëm dhe anashkaloi lehtësisht mbrojtjet konvencionale të sigurisë.
Versionet e instaluesit të kompromentuar varionin nga 12.5.0.2421 deri në 12.5.0.2434, me aktivitet dashakeq që daton që nga 8 prilli 2026. Vetëm versioni i softuerit për Windows u prek, ndërsa versioni për Mac mbeti i paprekur. Pas zbulimit të incidentit, zhvilluesi AVB Disc Soft publikoi versionin 12.6.0.2445, i cili heq funksionalitetin dashakeq dhe adreson shkeljen.
Tabela e Përmbajtjes
Komponentë të dëmshëm të fshehur brenda proceseve legjitime
Hetuesit zbuluan se sulmuesit modifikuan tre komponentë kritikë të DAEMON Tools:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShelHlp.exe
Sa herë që ndonjë nga këto skedarë binare nisej, zakonisht gjatë nisjes së sistemit, ato aktivizonin një implant të fshehur në makinën e infektuar. Implanti komunikonte me një domen të jashtëm, env-check.daemontools.cc, të regjistruar më 27 mars 2026, për të rikuperuar komandat e shell të ekzekutuara përmes procesit cmd.exe të Windows.
Komandat e shkarkuara shkaktuan vendosje shtesë të programeve keqdashëse, duke u mundësuar sulmuesve të zgjerojnë kontrollin mbi sistemet e kompromentuara, ndërkohë që mbeten të fshehur brenda sjelljes së besuar të softuerit.
Vendosja e programeve keqdashëse me shumë faza ngre alarmin
Zinxhiri i sulmit përfshinte disa ngarkesa dytësore të projektuara për zbulim, këmbëngulje dhe kontroll nga distanca. Ndër skedarët e vendosur ishin:
envchk.exe — një mjet zbulimi i bazuar në .NET i aftë të mbledhë informacione të detajuara të sistemit.
cdg.exe dhe cdg.tmp — komponentë të përdorur për të deshifruar dhe nisur një derë të pasme të lehtë të aftë për të shkarkuar skedarë, për të ekzekutuar komanda shell dhe për të ekzekutuar shellcode direkt në memorie.
Analistët e sigurisë identifikuan gjithashtu shpërndarjen e një trojan me akses në distancë të njohur si QUIC RAT. Malware mbështet metoda të shumta komunikimi Command-and-Control (C2), duke përfshirë HTTP, TCP, UDP, DNS, WSS, QUIC dhe HTTP/3. Përveç kësaj, ai mund të injektojë ngarkesa dashakeqe në procese legjitime të Windows si notepad.exe dhe conhost.exe, duke e bërë zbulimin dukshëm më të vështirë.
Mijëra të ekspozuar, por vetëm disa viktima të caktuara janë në shënjestër
Studiuesit vëzhguan disa mijëra përpjekje infektimi të lidhura me instaluesit e kompromentuar në më shumë se 100 vende, duke përfshirë Rusinë, Brazilin, Turqinë, Gjermaninë, Francën, Italinë, Spanjën dhe Kinën. Pavarësisht gjurmës së gjerë të infeksionit, vetëm një numër i kufizuar sistemesh morën ngarkesën e avancuar të derës së pasme, duke treguar një strategji shumë selektive të synimit.
Malware-i pasues u zbulua brenda organizatave që operojnë në sektorët e shitjes me pakicë, kërkimit shkencor, qeverisë, prodhimit dhe arsimit në të gjithë Rusinë, Bjellorusinë dhe Tajlandën. Një infeksion i konfirmuar QUIC RAT synonte posaçërisht një institucion arsimor në Rusi.
Ky vendosje selektive sugjeron fuqimisht se fushata ishte projektuar për shënjestrim preciz dhe jo për infeksion masiv pa dallim. Megjithatë, studiuesit ende nuk kanë përcaktuar nëse sulmuesit kishin për qëllim të kryenin operacione spiunazhi kibernetik apo sulme të motivuara financiarisht nga "gjuetia e kafshëve të mëdha".
Provat tregojnë drejt një aktori kërcënues të sofistikuar që flet kinezisht
Edhe pse asnjë grup i njohur kërcënimi nuk është lidhur zyrtarisht me operacionin, analiza mjeko-ligjore e objekteve të malware sugjeron përfshirjen e një kundërshtari që flet kinezisht. Kompleksiteti i ndërhyrjes, i kombinuar me aftësinë për të kompromentuar softuerin e nënshkruar të shpërndarë përmes një kanali zyrtar të shitësit, tregon aftësi të përparuara sulmuese dhe planifikim operativ afatgjatë.
Komprometimi i DAEMON Tools i bashkohet një vale në rritje të sulmeve të zinxhirit të furnizimit të softuerëve të vëzhguara gjatë gjysmës së parë të vitit 2026. Incidente të ngjashme më parë ndikuan në eScan në janar, Notepad++ në shkurt dhe CPUID në prill.
Pse sulmet në zinxhirin e furnizimit janë kaq të rrezikshme
Kompromentimet e zinxhirit të furnizimit mbeten veçanërisht të rrezikshme sepse ato shfrytëzojnë besimin e natyrshëm që përdoruesit kanë te shitësit legjitimë të softuerëve. Aplikacionet e shkarkuara direkt nga faqet zyrtare të internetit dhe të nënshkruara me certifikata dixhitale të vlefshme rrallë trajtohen si të dyshimta nga përdoruesit ose produktet e sigurisë.
Në këtë rast, aktiviteti keqdashës thuhet se mbeti i pazbuluar për gati një muaj, duke nxjerrë në pah si sofistikimin e sulmuesve ashtu edhe kufizimet e mbrojtjeve tradicionale të sigurisë të bazuara në perimetrin. Profesionistët e sigurisë theksojnë se organizatat që përdorin versionet e prekura të DAEMON Tools duhet të izolojnë menjëherë sistemet e prekura dhe të kryejnë operacione gjithëpërfshirëse të gjuetisë së kërcënimeve për të identifikuar lëvizjen e mundshme anësore ose aktivitetin shtesë keqdashës brenda rrjeteve të korporatave.
Përgjigja e Furnizuesit dhe Hapat e Rekomanduar për Zbutjen e Ndikimit
AVB Disc Soft deklaroi se shkelja duket se është e kufizuar në versionin Lite të softuerit dhe konfirmoi se një hetim është duke u zhvilluar për të përcaktuar fushëveprimin e plotë dhe shkakun rrënjësor të incidentit.
Përdoruesve që kanë shkarkuar ose instaluar DAEMON Tools Lite versionin 12.5.1 gjatë periudhës kohore të prekur u këshillohet fuqimisht që ta heqin menjëherë programin, të kryejnë një skanim të plotë antivirusi dhe sigurie të pikës fundore duke përdorur mjete të besueshme sigurie dhe të riinstalojnë vetëm versionin më të fundit të pastër të marrë direkt nga faqja zyrtare e internetit e DAEMON Tools.
