Útok na dodavatelský řetězec DAEMON Tools
Výzkumníci v oblasti kybernetické bezpečnosti odhalili sofistikovaný útok na dodavatelský řetězec, do kterého byli zapojeni instalační programy DAEMON Tools. Útočníci úspěšně napadli oficiální instalační programy systému Windows distribuované prostřednictvím legitimních webových stránek DAEMON Tools a vložili škodlivý kód do digitálně podepsaných softwarových balíčků. Protože instalační programy obsahovaly autentické certifikáty vývojářů, malware se jevil jako důvěryhodný a snadno obcházel konvenční bezpečnostní opatření.
Napadené verze instalačního programu se pohybovaly od 12.5.0.2421 do 12.5.0.2434, přičemž škodlivá aktivita byla vysledována až do 8. dubna 2026. Zasažena byla pouze verze softwaru pro Windows, zatímco verze pro Mac zůstala nedotčena. Po odhalení incidentu vydal vývojář AVB Disc Soft verzi 12.6.0.2445, která odstraňuje škodlivou funkci a řeší narušení bezpečnosti.
Obsah
Škodlivé komponenty skryté uvnitř legitimních procesů
Vyšetřovatelé zjistili, že útočníci upravili tři kritické komponenty DAEMON Tools:
- DTHelper.exe
- Soubor DiscSoftBusServiceLite.exe
- Soubor DTShellHlp.exe
Kdykoli se některý z těchto binárních souborů spustil, obvykle během startu systému, aktivoval na infikovaném počítači skrytý implantát. Implantát komunikoval s externí doménou env-check.daemontools.cc, registrovanou 27. března 2026, aby načetl příkazy shellu spuštěné prostřednictvím procesu cmd.exe systému Windows.
Stažené příkazy spustily další nasazení malwaru, což útočníkům umožnilo rozšířit kontrolu nad napadenými systémy a zároveň zůstat skryti v rámci chování důvěryhodného softwaru.
Vícestupňové nasazení malwaru vyvolává poplach
Útočný řetězec zahrnoval několik sekundárních nákladů určených pro průzkum, vytrvalost a dálkové ovládání. Mezi nasazenými soubory byly:
envchk.exe — průzkumný nástroj založený na .NET, který dokáže shromažďovat podrobné systémové informace.
cdg.exe a cdg.tmp – komponenty používané k dešifrování a spuštění lehkého backdooru schopného stahovat soubory, provádět příkazy shellu a spouštět shellcode přímo v paměti.
Bezpečnostní analytici také identifikovali doručení trojského koně pro vzdálený přístup známého jako QUIC RAT. Malware podporuje řadu komunikačních metod Command-and-Control (C2), včetně HTTP, TCP, UDP, DNS, WSS, QUIC a HTTP/3. Kromě toho může vkládat škodlivé datové soubory do legitimních procesů systému Windows, jako jsou notepad.exe a conhost.exe, což výrazně ztěžuje jeho detekci.
Tisíce odhaleny, ale cíleně útočí pouze na vybrané oběti
Výzkumníci zaznamenali několik tisíc pokusů o infekci spojených s napadenými instalačními programy ve více než 100 zemích, včetně Ruska, Brazílie, Turecka, Německa, Francie, Itálie, Španělska a Číny. Navzdory široké stopě infekce se pokročilý backdoor dostal pouze omezený počet systémů, což naznačuje vysoce selektivní strategii cílení.
Následný malware byl detekován v organizacích působících v maloobchodě, vědeckém výzkumu, státní správě, výrobě a vzdělávání v Rusku, Bělorusku a Thajsku. Jedna potvrzená infekce virem QUIC RAT byla konkrétně zaměřena na vzdělávací instituci v Rusku.
Toto selektivní nasazení silně naznačuje, že kampaň byla navržena spíše pro přesné cílení než pro nerozlišující hromadnou infekci. Výzkumníci však dosud nezjistili, zda útočníci zamýšleli provádět kybernetické špionážní operace nebo finančně motivované útoky zaměřené na „lov velké zvěře“.
Důkazy ukazují na sofistikovaného čínsky mluvícího aktéra hrozby
Ačkoli žádná známá skupina hrozeb nebyla oficiálně spojena s operací, forenzní analýza artefaktů malwaru naznačuje zapojení čínsky mluvícího protivníka. Složitost útoku v kombinaci se schopností kompromitovat podepsaný software distribuovaný prostřednictvím oficiálního prodejního kanálu demonstruje pokročilé útočné schopnosti a dlouhodobé operační plánování.
Narušení DAEMON Tools se připojuje k rostoucí vlně útoků na dodavatelský řetězec softwaru, které byly pozorovány v první polovině roku 2026. Podobné incidenty se dříve v lednu dotkly eScan, v únoru Notepad++ a v dubnu CPUID.
Proč jsou útoky na dodavatelský řetězec tak nebezpečné
Narušení dodavatelského řetězce je i nadále obzvláště nebezpečné, protože zneužívá inherentní důvěru, kterou uživatelé vkládají do legitimních dodavatelů softwaru. Aplikace stažené přímo z oficiálních webových stránek a podepsané platnými digitálními certifikáty jsou uživateli nebo bezpečnostními produkty zřídka považovány za podezřelé.
V tomto případě údajně zůstala škodlivá aktivita téměř měsíc neodhalena, což zdůrazňuje jak sofistikovanost útočníků, tak i omezení tradičních obranných mechanismů zaměřených na perimetr. Bezpečnostní odborníci zdůrazňují, že organizace používající postižené verze DAEMON Tools by měly okamžitě izolovat postižené systémy a provést komplexní operace zaměřené na vyhledávání hrozeb, aby identifikovaly možné laterální přesuny nebo další škodlivou aktivitu v rámci podnikových sítí.
Reakce dodavatele a doporučené kroky ke zmírnění dopadů
Společnost AVB Disc Soft uvedla, že se narušení zřejmě omezuje na edici softwaru Lite, a potvrdila, že probíhá vyšetřování s cílem určit plný rozsah a hlavní příčinu incidentu.
Uživatelům, kteří si během dotčeného období stáhli nebo nainstalovali DAEMON Tools Lite verze 12.5.1, se důrazně doporučuje, aby software okamžitě odinstalovali, provedli kompletní antivirovou a bezpečnostní kontrolu koncových bodů pomocí důvěryhodných bezpečnostních nástrojů a znovu nainstalovali pouze nejnovější čistou verzi získanou přímo z oficiálních webových stránek DAEMON Tools.
