Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κλέφτες Επίθεση στην αλυσίδα εφοδιασμού DAEMON Tools

Επίθεση στην αλυσίδα εφοδιασμού DAEMON Tools

Μέχρι το Mezo το Κλέφτες, Backdoors, Εργαλεία απομακρυσμένης διαχείρισης
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια εξελιγμένη επίθεση στην αλυσίδα εφοδιασμού που αφορούσε προγράμματα εγκατάστασης του DAEMON Tools. Οι απειλητικοί παράγοντες παραβίασαν με επιτυχία επίσημα προγράμματα εγκατάστασης των Windows που διανεμήθηκαν μέσω του νόμιμου ιστότοπου DAEMON Tools, ενσωματώνοντας κακόβουλο κώδικα σε ψηφιακά υπογεγραμμένα πακέτα λογισμικού. Επειδή τα προγράμματα εγκατάστασης έφεραν αυθεντικά πιστοποιητικά προγραμματιστή, το κακόβουλο λογισμικό φαινόταν αξιόπιστο και παρέκαμψε εύκολα τις συμβατικές άμυνες ασφαλείας.

Οι εκδόσεις του προγράμματος εγκατάστασης που παραβιάστηκαν κυμαίνονταν από 12.5.0.2421 έως 12.5.0.2434, με κακόβουλη δραστηριότητα που εντοπίζεται στις 8 Απριλίου 2026. Επηρεάστηκε μόνο η έκδοση του λογισμικού για Windows, ενώ η έκδοση για Mac παρέμεινε ανέπαφη. Μετά την αποκάλυψη του περιστατικού, ο προγραμματιστής AVB Disc Soft κυκλοφόρησε την έκδοση 12.6.0.2445, η οποία καταργεί την κακόβουλη λειτουργικότητα και αντιμετωπίζει την παραβίαση.

Κακόβουλα Στοιχεία Κρυμμένα Μέσα σε Νόμιμες Διαδικασίες

Οι ερευνητές ανακάλυψαν ότι οι εισβολείς τροποποίησαν τρία κρίσιμα στοιχεία του DAEMON Tools:

  • DTHelper.exe
  • DiscSoftBusServiceLite.exe
  • DTShelHlp.exe

Κάθε φορά που εκκινούνταν κάποιο από αυτά τα δυαδικά αρχεία, συνήθως κατά την εκκίνηση του συστήματος, ενεργοποιούσαν ένα κρυφό εμφύτευμα στο μολυσμένο μηχάνημα. Το εμφύτευμα επικοινωνούσε με έναν εξωτερικό τομέα, το env-check.daemontools.cc, που καταχωρήθηκε στις 27 Μαρτίου 2026, για να ανακτήσει εντολές κελύφους που εκτελούνται μέσω της διεργασίας cmd.exe των Windows.

Οι εντολές που λήφθηκαν πυροδότησαν πρόσθετη ανάπτυξη κακόβουλου λογισμικού, επιτρέποντας στους εισβολείς να επεκτείνουν τον έλεγχο των παραβιασμένων συστημάτων, παραμένοντας παράλληλα κρυμμένοι εντός αξιόπιστης συμπεριφοράς λογισμικού.

Η ανάπτυξη κακόβουλου λογισμικού σε πολλαπλά στάδια προκαλεί συναγερμό

Η αλυσίδα επίθεσης περιελάμβανε διάφορα δευτερεύοντα ωφέλιμα φορτία σχεδιασμένα για αναγνώριση, επιμονή και τηλεχειρισμό. Μεταξύ των αρχείων που αναπτύχθηκαν ήταν:

envchk.exe — ένα εργαλείο αναγνώρισης που βασίζεται σε .NET και είναι ικανό να συλλέγει λεπτομερείς πληροφορίες συστήματος.
cdg.exe και cdg.tmp — στοιχεία που χρησιμοποιούνται για την αποκρυπτογράφηση και την εκκίνηση ενός ελαφρού backdoor ικανού για λήψη αρχείων, εκτέλεση εντολών shell και εκτέλεση shellcode απευθείας στη μνήμη.

Οι αναλυτές ασφαλείας εντόπισαν επίσης την εμφάνιση ενός trojan απομακρυσμένης πρόσβασης, γνωστού ως QUIC RAT. Το κακόβουλο λογισμικό υποστηρίζει πολλές μεθόδους επικοινωνίας Command-and-Control (C2), όπως HTTP, TCP, UDP, DNS, WSS, QUIC και HTTP/3. Επιπλέον, μπορεί να εισάγει κακόβουλα φορτία σε νόμιμες διεργασίες των Windows, όπως το notepad.exe και το conhost.exe, καθιστώντας την ανίχνευση σημαντικά πιο δύσκολη.

Χιλιάδες εκτίθενται, αλλά μόνο επιλεγμένα θύματα στοχοποιούνται

Οι ερευνητές παρατήρησαν αρκετές χιλιάδες απόπειρες μόλυνσης που συνδέονταν με τους παραβιασμένους εγκαταστάτες σε περισσότερες από 100 χώρες, συμπεριλαμβανομένων της Ρωσίας, της Βραζιλίας, της Τουρκίας, της Γερμανίας, της Γαλλίας, της Ιταλίας, της Ισπανίας και της Κίνας. Παρά το ευρύ αποτύπωμα της μόλυνσης, μόνο ένας περιορισμένος αριθμός συστημάτων έλαβε το προηγμένο ωφέλιμο φορτίο backdoor, υποδεικνύοντας μια εξαιρετικά επιλεκτική στρατηγική στόχευσης.

Το επακόλουθο κακόβουλο λογισμικό εντοπίστηκε σε οργανισμούς που δραστηριοποιούνται στους τομείς του λιανικού εμπορίου, της επιστημονικής έρευνας, της κυβέρνησης, της μεταποίησης και της εκπαίδευσης σε όλη τη Ρωσία, τη Λευκορωσία και την Ταϊλάνδη. Μία επιβεβαιωμένη μόλυνση από QUIC RAT στόχευε συγκεκριμένα ένα εκπαιδευτικό ίδρυμα στη Ρωσία.

Αυτή η επιλεκτική ανάπτυξη υποδηλώνει έντονα ότι η εκστρατεία σχεδιάστηκε για στόχευση ακριβείας και όχι για αδιάκριτη μαζική μόλυνση. Ωστόσο, οι ερευνητές δεν έχουν ακόμη προσδιορίσει εάν οι επιτιθέμενοι σκόπευαν να διεξάγουν επιχειρήσεις κυβερνοκατασκοπείας ή επιθέσεις «κυνηγιού μεγάλων θηραμάτων» με οικονομικά κίνητρα.

Τα στοιχεία δείχνουν έναν εξελιγμένο κινέζικο-μιλούντα παράγοντα απειλής

Παρόλο που καμία γνωστή απειλητική ομάδα δεν έχει επίσημα συνδεθεί με την επιχείρηση, η εγκληματολογική ανάλυση των αντικειμένων κακόβουλου λογισμικού υποδηλώνει εμπλοκή ενός κινέζικου τύπου εχθρού. Η πολυπλοκότητα της εισβολής, σε συνδυασμό με την ικανότητα παραβίασης υπογεγραμμένου λογισμικού που διανέμεται μέσω επίσημου καναλιού προμηθευτή, καταδεικνύει προηγμένες επιθετικές δυνατότητες και μακροπρόθεσμο επιχειρησιακό σχεδιασμό.

Η παραβίαση του DAEMON Tools εντάσσεται σε ένα αυξανόμενο κύμα επιθέσεων στην αλυσίδα εφοδιασμού λογισμικού που παρατηρήθηκαν κατά το πρώτο εξάμηνο του 2026. Παρόμοια περιστατικά είχαν επηρεάσει προηγουμένως το eScan τον Ιανουάριο, το Notepad++ τον Φεβρουάριο και το CPUID τον Απρίλιο.

Γιατί οι επιθέσεις στην αλυσίδα εφοδιασμού είναι τόσο επικίνδυνες

Οι παραβιάσεις της εφοδιαστικής αλυσίδας παραμένουν ιδιαίτερα επικίνδυνες επειδή εκμεταλλεύονται την εγγενή εμπιστοσύνη που τρέφουν οι χρήστες στους νόμιμους προμηθευτές λογισμικού. Οι εφαρμογές που λαμβάνονται απευθείας από επίσημους ιστότοπους και υπογράφονται με έγκυρα ψηφιακά πιστοποιητικά σπάνια αντιμετωπίζονται ως ύποπτες από τους χρήστες ή τα προϊόντα ασφαλείας.

Σε αυτήν την περίπτωση, η κακόβουλη δραστηριότητα φέρεται να παρέμεινε απαρατήρητη για σχεδόν ένα μήνα, υπογραμμίζοντας τόσο την πολυπλοκότητα των επιτιθέμενων όσο και τους περιορισμούς των παραδοσιακών συστημάτων άμυνας που βασίζονται στην περίμετρο. Οι επαγγελματίες ασφαλείας τονίζουν ότι οι οργανισμοί που χρησιμοποιούν τις επηρεαζόμενες εκδόσεις των DAEMON Tools θα πρέπει να απομονώνουν αμέσως τα επηρεαζόμενα συστήματα και να διεξάγουν ολοκληρωμένες επιχειρήσεις αναζήτησης απειλών για τον εντοπισμό πιθανής πλευρικής κίνησης ή πρόσθετης κακόβουλης δραστηριότητας εντός των εταιρικών δικτύων.

Απάντηση Προμηθευτή και Προτεινόμενα Βήματα Μετριασμού

Η AVB Disc Soft δήλωσε ότι η παραβίαση φαίνεται να περιορίζεται στην έκδοση Lite του λογισμικού και επιβεβαίωσε ότι βρίσκεται σε εξέλιξη έρευνα για να προσδιοριστεί το πλήρες εύρος και η βασική αιτία του συμβάντος.

Συνιστάται ιδιαίτερα στους χρήστες που κατέβασαν ή εγκατέστησαν το DAEMON Tools Lite έκδοση 12.5.1 κατά τη διάρκεια του επηρεαζόμενου χρονικού πλαισίου να απεγκαταστήσουν αμέσως το λογισμικό, να εκτελέσουν μια πλήρη σάρωση προστασίας από ιούς και ασφάλειας τελικών σημείων χρησιμοποιώντας αξιόπιστα εργαλεία ασφαλείας και να επανεγκαταστήσουν μόνο την πιο πρόσφατη καθαρή έκδοση που έλαβαν απευθείας από την επίσημη ιστοσελίδα του DAEMON Tools.

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...