டெமான் கருவிகள் விநியோகச் சங்கிலித் தாக்குதல்

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், DAEMON Tools இன்ஸ்டாலர்களை உள்ளடக்கிய ஒரு நுட்பமான விநியோகச் சங்கிலித் தாக்குதலைக் கண்டறிந்துள்ளனர். அச்சுறுத்தல் செய்பவர்கள், முறையான DAEMON Tools இணையதளம் மூலம் விநியோகிக்கப்பட்ட அதிகாரப்பூர்வ விண்டோஸ் இன்ஸ்டாலர்களை வெற்றிகரமாக ஊடுருவி, டிஜிட்டல் முறையில் கையொப்பமிடப்பட்ட மென்பொருள் தொகுப்புகளில் தீங்கிழைக்கும் குறியீட்டைப் பதித்துள்ளனர். அந்த இன்ஸ்டாலர்களில் உண்மையான டெவலப்பர் சான்றிதழ்கள் இருந்ததால், அந்த மால்வேர் நம்பகமானதாகத் தோன்றி, வழக்கமான பாதுகாப்பு அரண்களை எளிதில் கடந்து சென்றது.

பாதிக்கப்பட்ட இன்ஸ்டாலர் பதிப்புகள் 12.5.0.2421 முதல் 12.5.0.2434 வரை இருந்தன, மேலும் தீங்கிழைக்கும் செயல்பாடு ஏப்ரல் 8, 2026 அன்று நடந்ததாகக் கண்டறியப்பட்டது. மென்பொருளின் விண்டோஸ் பதிப்பு மட்டுமே பாதிக்கப்பட்டது, அதே நேரத்தில் மேக் பதிப்பு பாதிக்கப்படவில்லை. இந்தச் சம்பவம் வெளிப்படுத்தப்பட்டதைத் தொடர்ந்து, டெவலப்பரான AVB டிஸ்க் சாஃப்ட், தீங்கிழைக்கும் செயல்பாட்டை அகற்றி, மீறலைச் சரிசெய்யும் பதிப்பு 12.6.0.2445-ஐ வெளியிட்டது.

சட்டப்பூர்வமான செயல்முறைகளுக்குள் மறைந்திருக்கும் தீங்கிழைக்கும் கூறுகள்

தாக்குதல் நடத்தியவர்கள் DAEMON Tools-இன் மூன்று முக்கியக் கூறுகளை மாற்றியமைத்திருப்பதை புலனாய்வாளர்கள் கண்டறிந்தனர்:

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

இந்த பைனரிகளில் ஏதேனும் ஒன்று, பொதுவாக கணினி தொடங்கும் நேரத்தில், இயங்கத் தொடங்கும்போதெல்லாம், அவை பாதிக்கப்பட்ட கணினியில் உள்ள ஒரு மறைக்கப்பட்ட இம்ப்ளான்ட்டைச் செயல்படுத்தின. அந்த இம்ப்ளான்ட், விண்டோஸ் cmd.exe செயல்முறை மூலம் இயக்கப்படும் ஷெல் கட்டளைகளைப் பெறுவதற்காக, மார்ச் 27, 2026 அன்று பதிவுசெய்யப்பட்ட env-check.daemontools.cc என்ற வெளிப்புற டொமைனுடன் தொடர்புகொண்டது.

பதிவிறக்கம் செய்யப்பட்ட கட்டளைகள் கூடுதல் தீம்பொருள் பரவலைத் தூண்டின. இதன்மூலம், தாக்குதல் நடத்துபவர்கள் நம்பகமான மென்பொருள் செயல்பாடுகளுக்குள் மறைந்தபடியே, பாதிக்கப்பட்ட கணினிகள் மீதான தங்கள் கட்டுப்பாட்டை விரிவுபடுத்த முடிந்தது.

பல கட்ட தீம்பொருள் பரவல் எச்சரிக்கை எழுப்புகிறது

இந்தத் தாக்குதல் சங்கிலியில், உளவு, கண்காணிப்பு மற்றும் தொலைக்கட்டுப்பாடு ஆகியவற்றுக்காக வடிவமைக்கப்பட்ட பல இரண்டாம் நிலை கருவிகள் அடங்கியிருந்தன. பயன்படுத்தப்பட்ட கோப்புகளில் பின்வருவன அடங்கும்:

envchk.exe — விரிவான கணினித் தகவல்களைச் சேகரிக்கும் திறன் கொண்ட ஒரு .NET அடிப்படையிலான உளவுக்கருவி.
cdg.exe மற்றும் cdg.tmp — கோப்புகளைப் பதிவிறக்கம் செய்யவும், ஷெல் கட்டளைகளைச் செயல்படுத்தவும், ஷெல் குறியீட்டை நேரடியாக நினைவகத்தில் இயக்கவும் திறன் கொண்ட ஒரு இலகுவான பின்கதவை மறைகுறியாக்கம் செய்து தொடங்குவதற்குப் பயன்படுத்தப்படும் கூறுகள்.

பாதுகாப்பு ஆய்வாளர்கள் QUIC RAT எனப்படும் தொலைநிலை அணுகல் ட்ரோஜன் பரவுவதையும் அடையாளம் கண்டுள்ளனர். இந்த மால்வேர், HTTP, TCP, UDP, DNS, WSS, QUIC மற்றும் HTTP/3 உள்ளிட்ட பல கட்டளை மற்றும் கட்டுப்பாட்டு (C2) தொடர்பு முறைகளை ஆதரிக்கிறது. மேலும், இது notepad.exe மற்றும் conhost.exe போன்ற முறையான விண்டோஸ் செயல்முறைகளில் தீங்கிழைக்கும் பேலோடுகளைச் செலுத்த முடியும், இதனால் இதைக் கண்டறிவது கணிசமாகக் கடினமாகிறது.

ஆயிரக்கணக்கானோர் அம்பலப்படுத்தப்பட்டனர், ஆனால் தேர்ந்தெடுக்கப்பட்ட சிலரே குறிவைக்கப்பட்டனர்.

ரஷ்யா, பிரேசில், துருக்கி, ஜெர்மனி, பிரான்ஸ், இத்தாலி, ஸ்பெயின் மற்றும் சீனா உட்பட 100-க்கும் மேற்பட்ட நாடுகளில், ஊடுருவப்பட்ட இன்ஸ்டாலர்களுடன் தொடர்புடைய பல ஆயிரம் தொற்று முயற்சிகளை ஆராய்ச்சியாளர்கள் கண்டறிந்தனர். பரவலான தொற்றுப் பரவல் இருந்தபோதிலும், ஒரு குறிப்பிட்ட எண்ணிக்கையிலான கணினிகள் மட்டுமே மேம்பட்ட பேக்டோர் பேலோடைப் பெற்றன, இது மிகவும் தேர்ந்தெடுக்கப்பட்ட இலக்கு உத்தியைக் குறிக்கிறது.

ரஷ்யா, பெலாரஸ் மற்றும் தாய்லாந்து முழுவதும் சில்லறை வர்த்தகம், அறிவியல் ஆராய்ச்சி, அரசு, உற்பத்தி மற்றும் கல்வித் துறைகளில் செயல்படும் நிறுவனங்களுக்குள் இந்தத் தொடர் தீம்பொருள் கண்டறியப்பட்டது. உறுதிசெய்யப்பட்ட QUIC RAT தொற்றுகளில் ஒன்று, குறிப்பாக ரஷ்யாவில் உள்ள ஒரு கல்வி நிறுவனத்தைக் குறிவைத்தது.

இந்தத் தேர்ந்தெடுக்கப்பட்ட வரிசைப்படுத்தல், கண்மூடித்தனமான பெருமளவிலான தொற்றுப் பரவலை விட, துல்லியமான இலக்கு நிர்ணயத்திற்காகவே இந்தத் தாக்குதல் வடிவமைக்கப்பட்டது என்பதை வலுவாகச் சுட்டிக்காட்டுகிறது. இருப்பினும், தாக்குதல் நடத்தியவர்கள் இணைய உளவு நடவடிக்கைகளை மேற்கொள்ள எண்ணினார்களா அல்லது நிதி ஆதாயத்தை நோக்கமாகக் கொண்ட 'பெரிய இலக்குகளை வேட்டையாடும்' தாக்குதல்களை நடத்த எண்ணினார்களா என்பதை ஆய்வாளர்கள் இன்னும் கண்டறியவில்லை.

திறமையான சீன மொழி பேசும் அச்சுறுத்தல் சக்தி ஒன்று இருப்பதற்கான ஆதாரங்கள் சுட்டிக்காட்டுகின்றன.

அறியப்பட்ட எந்தவொரு அச்சுறுத்தல் குழுவும் இந்தச் செயல்பாட்டுடன் அதிகாரப்பூர்வமாக இணைக்கப்படவில்லை என்றாலும், தீம்பொருள் தடயங்களின் தடயவியல் பகுப்பாய்வானது, சீன மொழி பேசும் ஒரு எதிரியின் ஈடுபாட்டைச் சுட்டிக்காட்டுகிறது. இந்த ஊடுருவலின் சிக்கலான தன்மையும், அதிகாரப்பூர்வ விற்பனையாளர் வழித்தடம் மூலம் விநியோகிக்கப்படும் கையொப்பமிடப்பட்ட மென்பொருளைச் சிதைக்கும் திறனும், மேம்பட்ட தாக்குதல் திறன்களையும் நீண்டகால செயல்பாட்டுத் திட்டமிடலையும் வெளிப்படுத்துகின்றன.

2026-ஆம் ஆண்டின் முதல் பாதியில் காணப்பட்ட, மென்பொருள் விநியோகச் சங்கிலித் தாக்குதல்களின் பெருகிவரும் அலையில் DAEMON Tools பாதுகாப்பு மீறலும் இணைந்துள்ளது. இதேபோன்ற சம்பவங்கள் இதற்கு முன்னர் ஜனவரியில் eScan-ஐயும், பிப்ரவரியில் Notepad++-ஐயும், ஏப்ரலில் CPUID-ஐயும் பாதித்தன.

விநியோகச் சங்கிலித் தாக்குதல்கள் ஏன் மிகவும் ஆபத்தானவை?

விநியோகச் சங்கிலி மீறல்கள் குறிப்பாக ஆபத்தானவையாக இருக்கின்றன, ஏனெனில் அவை முறையான மென்பொருள் விற்பனையாளர்கள் மீது பயனர்கள் வைக்கும் இயல்பான நம்பிக்கையைச் சுரண்டுகின்றன. அதிகாரப்பூர்வ வலைத்தளங்களிலிருந்து நேரடியாகப் பதிவிறக்கம் செய்யப்பட்டு, செல்லுபடியாகும் டிஜிட்டல் சான்றிதழ்களால் கையொப்பமிடப்பட்ட செயலிகள், பயனர்களாலோ அல்லது பாதுகாப்பு சாதனங்களாலோ அரிதாகவே சந்தேகத்திற்குரியவையாகக் கருதப்படுகின்றன.

இந்த நிகழ்வில், தீங்கிழைக்கும் செயல்பாடு கிட்டத்தட்ட ஒரு மாதமாக கண்டறியப்படாமல் இருந்ததாகக் கூறப்படுகிறது. இது தாக்குதல் நடத்தியவர்களின் நுட்பத்தையும், பாரம்பரிய எல்லை அடிப்படையிலான பாதுகாப்பு முறைகளின் வரம்புகளையும் எடுத்துக்காட்டுகிறது. பாதிக்கப்பட்ட DAEMON Tools பதிப்புகளைப் பயன்படுத்தும் நிறுவனங்கள், பாதிக்கப்பட்ட கணினிகளை உடனடியாகத் தனிமைப்படுத்த வேண்டும் என்றும், நிறுவன வலையமைப்புகளுக்குள் சாத்தியமான பக்கவாட்டு நகர்வு அல்லது கூடுதல் தீங்கிழைக்கும் செயல்பாடுகளைக் கண்டறிய விரிவான அச்சுறுத்தல்-வேட்டையாடும் நடவடிக்கைகளை மேற்கொள்ள வேண்டும் என்றும் பாதுகாப்பு வல்லுநர்கள் வலியுறுத்துகின்றனர்.

விற்பனையாளரின் பதில் மற்றும் பரிந்துரைக்கப்பட்ட தணிப்பு நடவடிக்கைகள்

இந்த மீறல் மென்பொருளின் லைட் பதிப்பில் மட்டுமே நிகழ்ந்ததாகத் தோன்றுவதாகவும், இந்தச் சம்பவத்தின் முழு வீச்சையும் மூலக் காரணத்தையும் கண்டறிய தொடர் விசாரணை நடைபெற்று வருவதாகவும் ஏவிபி டிஸ்க் சாஃப்ட் நிறுவனம் தெரிவித்துள்ளது.

பாதிக்கப்பட்ட காலகட்டத்தில் DAEMON Tools Lite பதிப்பு 12.5.1-ஐப் பதிவிறக்கிய அல்லது நிறுவிய பயனர்கள், அந்த மென்பொருளை உடனடியாக நீக்குமாறும், நம்பகமான பாதுகாப்புக் கருவிகளைப் பயன்படுத்தி முழுமையான வைரஸ் தடுப்பு மற்றும் எண்ட்பாயிண்ட் பாதுகாப்பு ஸ்கேன் செய்யுமாறும், மேலும் அதிகாரப்பூர்வ DAEMON Tools இணையதளத்திலிருந்து நேரடியாகப் பெறப்பட்ட சமீபத்திய தூய்மையான வெளியீட்டை மட்டும் மீண்டும் நிறுவுமாறும் கடுமையாக அறிவுறுத்தப்படுகிறார்கள்.