Атака върху веригата за доставки на DAEMON Tools
Изследователи по киберсигурност разкриха сложна атака срещу веригата за доставки, включваща инсталатори на DAEMON Tools. Злонамерените лица успешно компрометираха официалните инсталатори на Windows, разпространявани чрез легитимния уебсайт на DAEMON Tools, като вградиха злонамерен код в цифрово подписани софтуерни пакети. Тъй като инсталаторите носеха автентични сертификати на разработчици, злонамереният софтуер изглеждаше надежден и лесно заобикаляше конвенционалните защити.
Компрометираните версии на инсталатора варираха от 12.5.0.2421 до 12.5.0.2434, като злонамерената активност е проследена до 8 април 2026 г. Засегната е само версията на софтуера за Windows, докато версията за Mac остава незасегната. След разкриването на инцидента, разработчикът AVB Disc Soft пусна версия 12.6.0.2445, която премахва злонамерената функционалност и отстранява пробива.
Съдържание
Злонамерени компоненти, скрити в легитимни процеси
Разследващите откриха, че нападателите са модифицирали три критични компонента на DAEMON Tools:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Всеки път, когато някой от тези двоични файлове се стартираше, обикновено по време на стартиране на системата, те активираха скрит имплант на заразената машина. Имплантът комуникираше с външен домейн, env-check.daemontools.cc, регистриран на 27 март 2026 г., за да извлича команди от shell, изпълнявани чрез процеса cmd.exe на Windows.
Изтеглените команди задействаха допълнително внедряване на зловреден софтуер, позволявайки на атакуващите да разширят контрола си върху компрометираните системи, като същевременно останат скрити в рамките на поведението на надежден софтуер.
Многоетапното внедряване на зловреден софтуер буди тревога
Веригата за атака включваше няколко вторични полезни товара, предназначени за разузнаване, постоянство и дистанционно управление. Сред разположените файлове бяха:
envchk.exe — .NET-базиран инструмент за разузнаване, способен да събира подробна системна информация.
cdg.exe и cdg.tmp — компоненти, използвани за декриптиране и стартиране на лека задна вратичка, способна да изтегля файлове, да изпълнява shell команди и да стартира shellcode директно в паметта.
Анализаторите по сигурността също така идентифицираха доставката на троянски кон за отдалечен достъп, известен като QUIC RAT. Зловредният софтуер поддържа множество методи за комуникация Command-and-Control (C2), включително HTTP, TCP, UDP, DNS, WSS, QUIC и HTTP/3. Освен това, той може да инжектира злонамерени полезни товари в легитимни процеси на Windows, като notepad.exe и conhost.exe, което значително затруднява откриването му.
Хиляди разкрити, но само избрани жертви са обект на нападения
Изследователите са наблюдавали няколко хиляди опита за заразяване, свързани с компрометираните инсталатори в повече от 100 страни, включително Русия, Бразилия, Турция, Германия, Франция, Италия, Испания и Китай. Въпреки широкия обхват на заразяването, само ограничен брой системи са получили усъвършенствания полезен товар на задната вратичка, което показва силно селективна стратегия за насочване.
Последващият зловреден софтуер е открит в организации, работещи в секторите на търговията на дребно, научните изследвания, правителството, производството и образованието в Русия, Беларус и Тайланд. Една потвърдена QUIC RAT инфекция е била насочена специално към образователна институция в Русия.
Това селективно внедряване категорично подсказва, че кампанията е била предназначена за прецизно насочване, а не за безразборно масово заразяване. Изследователите обаче все още не са определили дали нападателите са възнамерявали да извършват кибершпионски операции или финансово мотивирани атаки за „лов на едър дивеч“.
Доказателства сочат към умел китайскоговорящ актор на заплахата
Въпреки че нито една известна група заплахи не е официално свързана с операцията, криминалистичният анализ на артефактите на зловредния софтуер предполага участие на китайскоговорящ противник. Сложността на проникването, съчетана с възможността за компрометиране на подписан софтуер, разпространяван чрез официален канал на доставчика, демонстрира напреднали офанзивни възможности и дългосрочно оперативно планиране.
Компрометирането на DAEMON Tools се присъединява към нарастващата вълна от атаки срещу веригата за доставки на софтуер, наблюдавани през първата половина на 2026 г. Подобни инциденти преди това засегнаха eScan през януари, Notepad++ през февруари и CPUID през април.
Защо атаките срещу веригата за доставки са толкова опасни
Компрометирането на веригата за доставки остава особено опасно, защото експлоатира присъщото доверие, което потребителите имат към легитимните доставчици на софтуер. Приложенията, изтеглени директно от официални уебсайтове и подписани с валидни цифрови сертификати, рядко се третират като подозрителни от потребителите или продуктите за сигурност.
В този случай, злонамерената активност е останала неоткрита в продължение на близо месец, което подчертава както сложността на нападателите, така и ограниченията на традиционните защитни системи, базирани на периметър. Специалистите по сигурността подчертават, че организациите, използващи засегнатите версии на DAEMON Tools, трябва незабавно да изолират засегнатите системи и да проведат цялостни операции за търсене на заплахи, за да идентифицират евентуално странично движение или допълнителна злонамерена активност в корпоративните мрежи.
Отговор на доставчика и препоръчителни стъпки за смекчаване
AVB Disc Soft заяви, че пробивът изглежда е ограничен до Lite изданието на софтуера и потвърди, че е в ход разследване, за да се определи пълният обхват и първопричината за инцидента.
Потребителите, които са изтеглили или инсталирали DAEMON Tools Lite версия 12.5.1 през засегнатия период, силно се препоръчва незабавно да премахнат софтуера, да извършат пълно антивирусно и сканиране за сигурност на крайните точки, използвайки надеждни инструменти за сигурност, и да преинсталират само най-новата чиста версия, получена директно от официалния уебсайт на DAEMON Tools.
