Ponuda s popustom na više licenci
Baza prijetnji kradljivci Napad na lanac opskrbe DAEMON Toolsa

Napad na lanac opskrbe DAEMON Toolsa

Do Mezo. kradljivci, Stražnja vrata, Alati za udaljenu administraciju. godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su sofisticirani napad na lanac opskrbe u koji su uključeni instalacijski programi DAEMON Toolsa. Akteri prijetnji uspješno su kompromitirali službene instalacijske programe za Windows distribuirane putem legitimne web stranice DAEMON Toolsa, ugrađujući zlonamjerni kod u digitalno potpisane softverske pakete. Budući da su instalacijski programi imali autentične certifikate razvojnih programera, zlonamjerni softver djelovao je pouzdano i lako je zaobilazio konvencionalne sigurnosne obrane.

Kompromitirane verzije instalacijskog programa kretale su se od 12.5.0.2421 do 12.5.0.2434, a zlonamjerna aktivnost mogla se pratiti do 8. travnja 2026. Pogođena je samo Windows verzija softvera, dok je Mac verzija ostala netaknuta. Nakon otkrivanja incidenta, programer AVB Disc Soft objavio je verziju 12.6.0.2445 koja uklanja zlonamjernu funkcionalnost i rješava problem kršenja sigurnosti.

Zlonamjerne komponente skrivene unutar legitimnih procesa

Istražitelji su otkrili da su napadači modificirali tri ključne komponente DAEMON Toolsa:

  • DTHelper.exe
  • DiscSoftBusServiceLite.exe
  • DTShellHlp.exe

Kad god bi se bilo koja od ovih binarnih datoteka pokrenula, obično tijekom pokretanja sustava, aktivirale bi skriveni implantat na zaraženom računalu. Implant je komunicirao s vanjskom domenom, env-check.daemontools.cc, registriranom 27. ožujka 2026., kako bi dohvatio naredbe ljuske izvršene putem Windows cmd.exe procesa.

Preuzete naredbe pokrenule su dodatno postavljanje zlonamjernog softvera, omogućujući napadačima da prošire kontrolu nad kompromitiranim sustavima, a istovremeno ostanu skriveni unutar ponašanja pouzdanog softvera.

Višefazno postavljanje zlonamjernog softvera izaziva uzbunu

Lanac napada uključivao je nekoliko sekundarnih korisnih tereta dizajniranih za izviđanje, istrajnost i daljinsko upravljanje. Među raspoređenim datotekama bile su:

envchk.exe — alat za izviđanje temeljen na .NET-u koji može prikupljati detaljne informacije o sustavu.
cdg.exe i cdg.tmp — komponente koje se koriste za dešifriranje i pokretanje laganog backdoora sposobnog za preuzimanje datoteka, izvršavanje shell naredbi i pokretanje shellcodea izravno u memoriji.

Sigurnosni analitičari također su identificirali isporuku trojanca za udaljeni pristup poznatog kao QUIC RAT. Zlonamjerni softver podržava brojne metode komunikacije Command-and-Control (C2), uključujući HTTP, TCP, UDP, DNS, WSS, QUIC i HTTP/3. Osim toga, može ubrizgati zlonamjerne sadržaje u legitimne Windows procese kao što su notepad.exe i conhost.exe, što znatno otežava otkrivanje.

Tisuće razotkriveno, ali ciljane su samo odabrane žrtve

Istraživači su primijetili nekoliko tisuća pokušaja infekcije povezanih s kompromitovanim instalacijskim programima u više od 100 zemalja, uključujući Rusiju, Brazil, Tursku, Njemačku, Francusku, Italiju, Španjolsku i Kinu. Unatoč širokom otisku infekcije, samo je ograničen broj sustava primio napredni backdoor payload, što ukazuje na vrlo selektivnu strategiju ciljanja.

Naknadni zlonamjerni softver otkriven je unutar organizacija koje posluju u maloprodaji, znanstvenim istraživanjima, vladi, proizvodnji i obrazovnim sektorima diljem Rusije, Bjelorusije i Tajlanda. Jedna potvrđena QUIC RAT infekcija posebno je bila usmjerena na obrazovnu ustanovu u Rusiji.

Ovo selektivno raspoređivanje snažno sugerira da je kampanja osmišljena za precizno ciljanje, a ne za neselektivnu masovnu zarazu. Međutim, istraživači još nisu utvrdili jesu li napadači namjeravali provoditi operacije kibernetičke špijunaže ili financijski motivirane napade "lova na krupnu divljač".

Dokazi upućuju na sofisticiranog aktera prijetnji koji govori kineski

Iako nijedna poznata prijeteća skupina nije službeno povezana s operacijom, forenzička analiza artefakata zlonamjernog softvera sugerira sudjelovanje protivnika koji govori kineski. Složenost upada, u kombinaciji s mogućnošću kompromitiranja potpisanog softvera distribuiranog putem službenog kanala dobavljača, pokazuje napredne ofenzivne sposobnosti i dugoročno operativno planiranje.

Kompromitacija DAEMON Toolsa pridružuje se rastućem valu napada na lanac opskrbe softverom koji su uočeni tijekom prve polovice 2026. Slični incidenti prethodno su utjecali na eScan u siječnju, Notepad++ u veljači i CPUID u travnju.

Zašto su napadi na lanac opskrbe toliko opasni

Kompromiti u lancu opskrbe i dalje su posebno opasni jer iskorištavaju inherentno povjerenje koje korisnici imaju u legitimne dobavljače softvera. Aplikacije preuzete izravno sa službenih web stranica i potpisane važećim digitalnim certifikatima korisnici ili sigurnosni proizvodi rijetko tretiraju kao sumnjive.

U ovom slučaju, zlonamjerna aktivnost navodno je ostala neotkrivena gotovo mjesec dana, što naglašava i sofisticiranost napadača i ograničenja tradicionalne obrane temeljene na perimetru. Sigurnosni stručnjaci naglašavaju da organizacije koje koriste pogođene verzije DAEMON Toolsa trebaju odmah izolirati pogođene sustave i provesti sveobuhvatne operacije lova na prijetnje kako bi identificirale moguće lateralno kretanje ili dodatne zlonamjerne aktivnosti unutar korporativnih mreža.

Odgovor dobavljača i preporučeni koraci ublažavanja

AVB Disc Soft izjavio je da se čini da je povreda ograničena na Lite izdanje softvera te potvrdio da je u tijeku istraga kako bi se utvrdio puni opseg i uzrok incidenta.

Korisnicima koji su preuzeli ili instalirali DAEMON Tools Lite verziju 12.5.1 tijekom zahvaćenog vremenskog okvira toplo se preporučuje da odmah uklone softver, izvrše potpuno antivirusno i sigurnosno skeniranje krajnjih točaka pomoću pouzdanih sigurnosnih alata i ponovno instaliraju samo najnoviju čistu verziju preuzetu izravno sa službene web stranice DAEMON Tools.

U trendu

Nagledanije

Učitavam...