DAEMON Tools forsyningskædeangreb
Cybersikkerhedsforskere har afsløret et sofistikeret forsyningskædeangreb, der involverede DAEMON Tools-installationsprogrammer. Trusselaktører har med succes kompromitteret officielle Windows-installationsprogrammer, der distribueres via det legitime DAEMON Tools-websted, ved at integrere skadelig kode i digitalt signerede softwarepakker. Fordi installationsprogrammerne havde autentiske udviklercertifikater, virkede malwaren troværdig og omgik let konventionelle sikkerhedsforsvar.
De kompromitterede installationsversioner varierede fra 12.5.0.2421 til 12.5.0.2434, med skadelig aktivitet sporet tilbage til 8. april 2026. Kun Windows-udgaven af softwaren var berørt, mens Mac-versionen forblev uberørt. Efter afsløringen af hændelsen udgav udvikleren AVB Disc Soft version 12.6.0.2445, som fjerner den skadelige funktionalitet og adresserer bruddet.
Indholdsfortegnelse
Ondsindede komponenter skjult i legitime processer
Efterforskere opdagede, at angribere modificerede tre kritiske DAEMON Tools-komponenter:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Når en af disse binære filer startede, typisk under systemopstart, aktiverede de et skjult implantat på den inficerede maskine. Implantatet kommunikerede med et eksternt domæne, env-check.daemontools.cc, registreret den 27. marts 2026, for at hente shell-kommandoer udført via Windows cmd.exe-processen.
De downloadede kommandoer udløste yderligere malware-implementering, hvilket gjorde det muligt for angribere at udvide kontrollen over kompromitterede systemer, mens de forblev skjult inden for betroet softwareadfærd.
Flertrins malware-implementering vækker alarm
Angrebskæden involverede adskillige sekundære nyttelaster designet til rekognoscering, vedholdenhed og fjernstyring. Blandt de udsendte filer var:
envchk.exe — et .NET-baseret rekognosceringsværktøj, der er i stand til at indsamle detaljerede systemoplysninger.
cdg.exe og cdg.tmp — komponenter, der bruges til at dekryptere og starte en let bagdør, der er i stand til at downloade filer, udføre shell-kommandoer og køre shellcode direkte i hukommelsen.
Sikkerhedsanalytikere identificerede også levering af en fjernadgangstrojaner kendt som QUIC RAT. Malwaren understøtter adskillige Command-and-Control (C2) kommunikationsmetoder, herunder HTTP, TCP, UDP, DNS, WSS, QUIC og HTTP/3. Derudover kan den injicere skadelige nyttelast i legitime Windows-processer såsom notepad.exe og conhost.exe, hvilket gør detektion betydeligt vanskeligere.
Tusindvis afsløret, men kun udvalgte ofre er målrettet
Forskere observerede flere tusinde infektionsforsøg forbundet med de kompromitterede installatører i mere end 100 lande, herunder Rusland, Brasilien, Tyrkiet, Tyskland, Frankrig, Italien, Spanien og Kina. Trods det brede fodaftryk af infektioner modtog kun et begrænset antal systemer den avancerede bagdørsnyttelast, hvilket indikerer en meget selektiv målretningsstrategi.
Den efterfølgende malware blev opdaget i organisationer, der opererer inden for detailhandel, videnskabelig forskning, offentlig forvaltning, produktion og uddannelse i Rusland, Hviderusland og Thailand. Én bekræftet QUIC RAT-infektion var specifikt rettet mod en uddannelsesinstitution i Rusland.
Denne selektive implementering tyder stærkt på, at kampagnen var designet til præcis målretning snarere end vilkårlig masseinfektion. Forskerne har dog endnu ikke fastslået, om angriberne havde til hensigt at udføre cyberspionageoperationer eller økonomisk motiverede "storvildtjagt"-angreb.
Beviser peger på en sofistikeret kinesisktalende trusselsaktør
Selvom ingen kendt trusselsgruppe officielt er blevet forbundet med operationen, tyder retsmedicinsk analyse af malware-artefakterne på involvering fra en kinesisktalende modstander. Indtrængningens kompleksitet kombineret med evnen til at kompromittere signeret software distribueret via en officiel leverandørkanal demonstrerer avancerede offensive kapaciteter og langsigtet operationel planlægning.
DAEMON Tools-angrebet slutter sig til en voksende bølge af angreb på softwareforsyningskæden, der blev observeret i løbet af første halvdel af 2026. Lignende hændelser ramte tidligere eScan i januar, Notepad++ i februar og CPUID i april.
Hvorfor forsyningskædeangreb er så farlige
Kompromitteringer i forsyningskæden er fortsat særligt farlige, fordi de udnytter den iboende tillid, som brugerne har til legitime softwareleverandører. Applikationer, der downloades direkte fra officielle websteder og signeres med gyldige digitale certifikater, behandles sjældent som mistænkelige af brugere eller sikkerhedsprodukter.
I dette tilfælde forblev den ondsindede aktivitet angiveligt uopdaget i næsten en måned, hvilket understreger både angribernes sofistikerede karakter og begrænsningerne ved traditionelle perimeterbaserede sikkerhedsforsvar. Sikkerhedseksperter understreger, at organisationer, der bruger berørte DAEMON Tools-versioner, straks bør isolere berørte systemer og udføre omfattende trusselsjagtoperationer for at identificere mulig lateral bevægelse eller yderligere ondsindet aktivitet i virksomhedens netværk.
Leverandørens reaktion og anbefalede afhjælpende trin
AVB Disc Soft udtalte, at bruddet tilsyneladende er begrænset til Lite-udgaven af softwaren, og bekræftede, at en igangværende undersøgelse er i gang for at fastslå det fulde omfang og den grundlæggende årsag til hændelsen.
Brugere, der downloadede eller installerede DAEMON Tools Lite version 12.5.1 i den berørte periode, anbefales kraftigt at fjerne softwaren med det samme, udføre en komplet antivirus- og endpoint-sikkerhedsscanning ved hjælp af pålidelige sikkerhedsværktøjer og kun geninstallere den seneste rene udgivelse, der er hentet direkte fra det officielle DAEMON Tools-websted.
