هجوم سلسلة التوريد لأدوات DAEMON

كشف باحثو الأمن السيبراني عن هجوم متطور على سلسلة التوريد استهدف برامج تثبيت DAEMON Tools. نجح المهاجمون في اختراق برامج تثبيت Windows الرسمية الموزعة عبر موقع DAEMON Tools الإلكتروني، حيث قاموا بتضمين برمجيات خبيثة في حزم البرامج الموقعة رقميًا. ولأن برامج التثبيت كانت تحمل شهادات مطور أصلية، بدت البرمجيات الخبيثة موثوقة، مما مكّنها من تجاوز أنظمة الحماية الأمنية التقليدية بسهولة.

تراوحت إصدارات برنامج التثبيت المخترقة بين 12.5.0.2421 و12.5.0.2434، ويعود تاريخ النشاط الخبيث إلى 8 أبريل 2026. تأثرت نسخة ويندوز فقط من البرنامج، بينما بقيت نسخة ماك سليمة. بعد الكشف عن الحادث، أصدرت شركة AVB Disc Soft المطورة للبرنامج الإصدار 12.6.0.2445، الذي يُزيل الوظائف الخبيثة ويعالج الثغرة.

مكونات خبيثة مخفية داخل عمليات شرعية

اكتشف المحققون أن المهاجمين قاموا بتعديل ثلاثة مكونات أساسية من برنامج DAEMON Tools:

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

عند تشغيل أي من هذه الملفات الثنائية، عادةً أثناء بدء تشغيل النظام، كانت تُفعّل برنامجًا خبيثًا مخفيًا على الجهاز المصاب. كان هذا البرنامج يتصل بنطاق خارجي، env-check.daemontools.cc، مسجل بتاريخ 27 مارس 2026، لاسترجاع أوامر النظام التي تُنفذ عبر عملية cmd.exe في نظام ويندوز.

أدت الأوامر التي تم تنزيلها إلى نشر برامج ضارة إضافية، مما مكن المهاجمين من توسيع سيطرتهم على الأنظمة المخترقة مع البقاء متخفين داخل سلوك البرامج الموثوقة.

نشر البرمجيات الخبيثة على مراحل متعددة يثير المخاوف

تضمنت سلسلة الهجوم عدة حمولات ثانوية مصممة للاستطلاع، والبقاء، والتحكم عن بُعد. ومن بين الملفات التي تم نشرها:

envchk.exe — أداة استطلاع تعتمد على .NET قادرة على جمع معلومات مفصلة عن النظام.
cdg.exe و cdg.tmp — مكونات تستخدم لفك تشفير وتشغيل باب خلفي خفيف الوزن قادر على تنزيل الملفات وتنفيذ أوامر shell وتشغيل shellcode مباشرة في الذاكرة.

رصد محللو الأمن أيضًا عملية نشر حصان طروادة للتحكم عن بُعد يُعرف باسم QUIC RAT. يدعم هذا البرنامج الخبيث العديد من طرق الاتصال للتحكم والسيطرة، بما في ذلك HTTP وTCP وUDP وDNS وWSS وQUIC وHTTP/3. إضافةً إلى ذلك، يمكنه حقن حمولات خبيثة في عمليات نظام ويندوز المشروعة مثل notepad.exe وconhost.exe، مما يجعل اكتشافه أكثر صعوبة.

تم الكشف عن آلاف الضحايا، ولكن تم استهداف ضحايا محددين فقط.

رصد الباحثون آلاف محاولات الإصابة المرتبطة ببرامج التثبيت المخترقة في أكثر من 100 دولة، من بينها روسيا والبرازيل وتركيا وألمانيا وفرنسا وإيطاليا وإسبانيا والصين. وعلى الرغم من انتشار الإصابة على نطاق واسع، لم يتلقَّ سوى عدد محدود من الأنظمة حمولة الباب الخلفي المتقدمة، مما يشير إلى استراتيجية استهداف انتقائية للغاية.

تم رصد البرمجيات الخبيثة اللاحقة داخل مؤسسات تعمل في قطاعات البيع بالتجزئة والبحث العلمي والحكومة والتصنيع والتعليم في روسيا وبيلاروسيا وتايلاند. وقد استهدفت إحدى الإصابات المؤكدة ببرنامج QUIC RAT مؤسسة تعليمية في روسيا على وجه التحديد.

يشير هذا الانتشار الانتقائي بقوة إلى أن الحملة صُممت لاستهداف دقيق بدلاً من إصابة جماعية عشوائية. ومع ذلك، لم يحدد الباحثون بعد ما إذا كان المهاجمون ينوون تنفيذ عمليات تجسس إلكتروني أم شن هجمات مدفوعة بأهداف مالية كبيرة.

تشير الأدلة إلى وجود جهة تهديد متطورة تتحدث اللغة الصينية

على الرغم من عدم وجود أي جهة تهديد معروفة مرتبطة رسميًا بالعملية، إلا أن التحليل الجنائي لملفات البرمجيات الخبيثة يشير إلى تورط جهة معادية ناطقة باللغة الصينية. إن تعقيد عملية الاختراق، إلى جانب القدرة على اختراق برامج موقّعة موزعة عبر قناة بائع رسمية، يدل على قدرات هجومية متقدمة وتخطيط عملياتي طويل الأمد.

ينضم اختراق DAEMON Tools إلى موجة متنامية من هجمات سلسلة توريد البرامج التي لوحظت خلال النصف الأول من عام 2026. وقد أثرت حوادث مماثلة سابقًا على eScan في يناير، وNotepad++ في فبراير، وCPUID في أبريل.

لماذا تُعدّ الهجمات على سلاسل التوريد خطيرة للغاية؟

لا تزال اختراقات سلاسل التوريد تشكل خطراً بالغاً لأنها تستغل الثقة المتأصلة التي يوليها المستخدمون لموردي البرامج الشرعيين. ونادراً ما تُعتبر التطبيقات التي يتم تنزيلها مباشرةً من المواقع الرسمية والموقعة بشهادات رقمية صالحة مشبوهة من قِبل المستخدمين أو برامج الحماية.

في هذه الحالة، أفادت التقارير أن النشاط الخبيث ظلّ خفيًا لما يقارب الشهر، مما يُبرز مدى براعة المهاجمين وقصور أنظمة الحماية التقليدية القائمة على حماية محيط الشبكة. ويؤكد خبراء الأمن على ضرورة أن تقوم المؤسسات التي تستخدم إصدارات DAEMON Tools المتأثرة بعزل الأنظمة المتضررة فورًا، وإجراء عمليات بحث شاملة عن التهديدات لتحديد أي تحركات جانبية محتملة أو أنشطة خبيثة إضافية داخل شبكات الشركات.

استجابة البائع وخطوات التخفيف الموصى بها

صرحت شركة AVB Disc Soft بأن الاختراق يبدو أنه يقتصر على الإصدار Lite من البرنامج وأكدت أن تحقيقًا جاريًا لتحديد النطاق الكامل والسبب الجذري للحادث.

يُنصح بشدة المستخدمين الذين قاموا بتنزيل أو تثبيت برنامج DAEMON Tools Lite الإصدار 12.5.1 خلال الفترة الزمنية المتأثرة بإزالة البرنامج على الفور، وإجراء فحص كامل لمكافحة الفيروسات وفحص أمان نقطة النهاية باستخدام أدوات أمان موثوقة، وإعادة تثبيت أحدث إصدار نظيف تم الحصول عليه مباشرة من موقع DAEMON Tools الرسمي.