מתקפת שרשרת האספקה של DAEMON Tools
חוקרי אבטחת סייבר חשפו מתקפת שרשרת אספקה מתוחכמת שכללה מתקיני DAEMON Tools. גורמי איום הצליחו לפגוע במתקיני Windows רשמיים שהופצו דרך אתר DAEMON Tools הלגיטימי, והטמיעו קוד זדוני בחבילות תוכנה חתומות דיגיטלית. מכיוון שהמתקינים נשאו אישורי מפתח אותנטיים, התוכנה הזדונית נראתה אמינה ועקפה בקלות את הגנות האבטחה הקונבנציונליות.
גרסאות ההתקנה שנפרצו נעו בין 12.5.0.2421 ל-12.5.0.2434, כאשר פעילות זדונית מוקדשת ל-8 באפריל 2026. רק גרסת Windows של התוכנה הושפעה, בעוד שגרסת Mac נותרה ללא שינוי. לאחר חשיפת התקרית, המפתחת AVB Disc Soft פרסמה את גרסה 12.6.0.2445, אשר מסירה את הפונקציונליות הזדונית ומטפלת בפריצה.
תוכן העניינים
רכיבים זדוניים המוסתרים בתוך תהליכים לגיטימיים
חוקרים גילו כי תוקפים שינו שלושה רכיבים קריטיים של DAEMON Tools:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
בכל פעם שאחד מהקבצים הבינאריים הללו הופעל, בדרך כלל במהלך הפעלת המערכת, הם הפעילו שתל נסתר במחשב הנגוע. השתל יצר קשר עם דומיין חיצוני, env-check.daemontools.cc, שנרשם ב-27 במרץ 2026, כדי לאחזר פקודות מעטפת שבוצעו באמצעות תהליך cmd.exe של Windows.
הפקודות שהורדו עוררו פריסה נוספת של תוכנות זדוניות, מה שאפשר לתוקפים להרחיב את השליטה על מערכות שנפרצו תוך שהם נשארים מוסתרים בתוך התנהגות תוכנה מהימנה.
פריסת תוכנות זדוניות רב-שלביות מעוררת אזעקה
שרשרת התקיפה כללה מספר מטענים משניים שנועדו למטרות סיור, שמירה ושליטה מרחוק. בין הקבצים שנפרסו היו:
envchk.exe - כלי סיור מבוסס .NET המסוגל לאסוף מידע מפורט על המערכת.
cdg.exe ו-cdg.tmp - רכיבים המשמשים לפענוח ולהפעלת דלת אחורית קלת משקל המסוגלת להוריד קבצים, לבצע פקודות מעטפת ולהריץ קוד מעטפת ישירות בזיכרון.
אנליסטים של אבטחה זיהו גם העברת סוס טרויאני לגישה מרחוק המכונה QUIC RAT. הקוד הזדוני תומך במספר שיטות תקשורת של פיקוד ובקרה (C2), כולל HTTP, TCP, UDP, DNS, WSS, QUIC ו-HTTP/3. בנוסף, הוא יכול להחדיר מטענים זדוניים לתהליכי Windows לגיטימיים כגון notepad.exe ו-conhost.exe, מה שמקשה משמעותית על הזיהוי.
אלפים נחשפו, אך רק קורבנות נבחרים מכוונים
חוקרים צפו בכמה אלפי ניסיונות הדבקה שקושרו למתקינים שנפרצו ביותר מ-100 מדינות, כולל רוסיה, ברזיל, טורקיה, גרמניה, צרפת, איטליה, ספרד וסין. למרות טביעת הרגל הרחבה של ההדבקה, רק מספר מוגבל של מערכות קיבלו את מטען הדלת האחורית המתקדם, דבר המצביע על אסטרטגיית מיקוד סלקטיבית ביותר.
נוזקת ההמשך זוהתה בארגונים הפועלים במגזרי הקמעונאות, המחקר המדעי, הממשל, הייצור והחינוך ברחבי רוסיה, בלארוס ותאילנד. זיהום QUIC RAT שאושר כוון ספציפית למוסד חינוכי ברוסיה.
פריסה סלקטיבית זו מרמזת באופן חזק על כך שהקמפיין תוכנן למטרות מיקוד מדויקות ולא להדבקה המונית חסרת הבחנה. עם זאת, החוקרים טרם קבעו האם התוקפים התכוונו לבצע פעולות ריגול קיברנטי או התקפות "ציד חיות גדולות" ממניעים כלכליים.
ראיות מצביעות על גורם איום מתוחכם דובר סינית
למרות שאף קבוצת איום ידועה לא נקשרה רשמית למבצע, ניתוח פורנזי של ממצאי הנוזקה מצביע על מעורבות של יריב דובר סינית. מורכבות הפריצה, בשילוב עם היכולת לפגוע בתוכנה חתומה שהופצה דרך ערוץ רשמי של ספק, מדגימה יכולות התקפיות מתקדמות ותכנון מבצעי לטווח ארוך.
הפגיעה ב-DAEMON Tools מצטרפת לגל הולך וגדל של מתקפות שרשרת אספקה של תוכנה שנצפו במהלך המחצית הראשונה של 2026. אירועים דומים השפיעו בעבר על eScan בינואר, Notepad++ בפברואר ו-CPUID באפריל.
מדוע מתקפות שרשרת אספקה כה מסוכנות
פגיעות בשרשרת האספקה נותרות מסוכנות במיוחד משום שהן מנצלות את האמון הטבוע שמשתמשים נותנים בספקי תוכנה לגיטימיים. יישומים שהורדו ישירות מאתרים רשמיים ונחתמו בתעודות דיגיטליות תקפות לעיתים רחוקות מטופלים כחשודדים על ידי משתמשים או מוצרי אבטחה.
במקרה זה, הפעילות הזדונית נותרה בלתי מזוהה במשך כמעט חודש, מה שמדגיש הן את תחכום התוקפים והן את המגבלות של הגנות אבטחה מסורתיות מבוססות היקפיות. אנשי אבטחה מדגישים כי ארגונים המשתמשים בגרסאות DAEMON Tools שנפגעו צריכים לבודד באופן מיידי את המערכות שנפגעו ולבצע פעולות מקיפות לאיתור איומים כדי לזהות תנועה רוחבית אפשרית או פעילות זדונית נוספת בתוך רשתות ארגוניות.
תגובת הספק וצעדי הפחתה מומלצים
AVB Disc Soft הצהירה כי נראה כי הפריצה מוגבלת לגרסת Lite של התוכנה ואישרה כי חקירה מתקיימת כדי לקבוע את היקף התקרית המלא ואת שורש הגורם לה.
מומלץ מאוד למשתמשים שהורידו או התקינו את DAEMON Tools Lite גרסה 12.5.1 במהלך פרק הזמן המושפע להסיר את התוכנה באופן מיידי, לבצע סריקת אנטי-וירוס ואבטחת נקודות קצה מלאה באמצעות כלי אבטחה מהימנים, ולהתקין מחדש רק את הגרסה הנקייה האחרונה שהתקבלה ישירות מאתר האינטרנט הרשמי של DAEMON Tools.
