DAEMON Tools ellátási lánc támadás
Kiberbiztonsági kutatók egy kifinomult ellátási lánc támadást tártak fel, amely DAEMON Tools telepítőket érintett. A kibernetikus szereplők sikeresen feltörték a legitim DAEMON Tools weboldalon keresztül terjesztett hivatalos Windows telepítőket, rosszindulatú kódot ágyazva be digitálisan aláírt szoftvercsomagokba. Mivel a telepítők hiteles fejlesztői tanúsítványokkal rendelkeztek, a rosszindulatú program megbízhatónak tűnt, és könnyen megkerülte a hagyományos biztonsági védelmet.
A feltört telepítőverziók a 12.5.0.2421 és 12.5.0.2434 közöttiek voltak, a rosszindulatú tevékenység pedig 2026. április 8-ig vezethető vissza. Csak a szoftver Windows-verzióját érintette a hiba, a Mac-verzió érintetlen maradt. Az incidens nyilvánosságra kerülését követően az AVB Disc Soft fejlesztő kiadta a 12.6.0.2445-ös verziót, amely eltávolítja a rosszindulatú funkciókat és kezeli a behatolást.
Tartalomjegyzék
Legális folyamatokba rejtett rosszindulatú összetevők
A nyomozók felfedezték, hogy a támadók három kritikus DAEMON Tools komponenst módosítottak:
- DTHelper.exe fájl
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe fájl
Amikor ezek a bináris fájlok elindultak, jellemzően a rendszerindítás során, egy rejtett implantátumot aktiváltak a fertőzött gépen. Az implantátum egy külső tartománnyal, az env-check.daemontools.cc-vel kommunikált, amely 2026. március 27-én regisztrált, hogy lekérje a Windows cmd.exe folyamaton keresztül végrehajtott shell parancsokat.
A letöltött parancsok további rosszindulatú programok telepítését indították el, lehetővé téve a támadók számára, hogy kiterjesztsék az irányítást a feltört rendszerek felett, miközben rejtve maradnak a megbízható szoftverek viselkedésén belül.
A többlépcsős kártevőtelepítés riasztó fényt kelt
A támadási lánc számos másodlagos hasznos adatot tartalmazott, amelyeket felderítésre, támadások kivédésére és távirányításra terveztek. A telepített fájlok között szerepeltek:
envchk.exe – egy .NET alapú felderítő eszköz, amely képes részletes rendszerinformációkat gyűjteni.
cdg.exe és cdg.tmp – olyan komponensek, amelyek egy könnyű hátsó ajtó visszafejtésére és elindítására szolgálnak, amely képes fájlok letöltésére, shell parancsok végrehajtására és shell kód futtatására közvetlenül a memóriában.
A biztonsági elemzők egy QUIC RAT néven ismert távoli hozzáférésű trójai vírus kézbesítését is azonosították. A rosszindulatú program számos Command-and-Control (C2) kommunikációs módszert támogat, beleértve a HTTP, TCP, UDP, DNS, WSS, QUIC és HTTP/3 kommunikációs módszert. Ezenkívül rosszindulatú fájlokat is képes befecskendezni legitim Windows folyamatokba, például a notepad.exe és a conhost.exe fájlokba, ami jelentősen megnehezíti az észlelést.
Ezrek leleplezve, de csak kiválasztott áldozatokat céloztak meg
A kutatók több ezer fertőzési kísérletet figyeltek meg a feltört telepítőkhöz kapcsolódóan több mint 100 országban, köztük Oroszországban, Brazíliában, Törökországban, Németországban, Franciaországban, Olaszországban, Spanyolországban és Kínában. A széles körű fertőzési lábnyom ellenére csak korlátozott számú rendszer kapta meg a fejlett hátsó ajtó támadási felületet, ami egy rendkívül szelektív célzási stratégiára utal.
A további kártevőt Oroszországban, Fehéroroszországban és Thaiföldön működő kiskereskedelmi, tudományos kutatási, kormányzati, gyártási és oktatási szektorokban működő szervezeteknél észlelték. Az egyik megerősített QUIC RAT fertőzés kifejezetten egy oroszországi oktatási intézményt célzott meg.
Ez a szelektív telepítés erősen arra utal, hogy a kampányt precíziós célzásra tervezték, nem pedig válogatás nélküli tömeges fertőzésre. A kutatók azonban még nem állapították meg, hogy a támadók kiberkémkedési műveleteket vagy pénzügyileg motivált „nagyvad-vadászati” támadásokat szándékoztak-e végrehajtani.
A bizonyítékok egy kifinomult kínaiul beszélő fenyegető szereplőre utalnak
Bár hivatalosan egyetlen ismert fenyegető csoportot sem hoztak összefüggésbe a művelettel, a rosszindulatú szoftverek elemzése egy kínaiul beszélő ellenség részvételére utal. A behatolás összetettsége, valamint a hivatalos szállítói csatornán keresztül terjesztett aláírt szoftverek feltörésének lehetősége fejlett támadó képességeket és hosszú távú operatív tervezést mutat.
A DAEMON Tools elleni támadások a 2026 első felében megfigyelt, egyre növekvő számú szoftverellátási lánc elleni támadások hullámához csatlakoztak. Hasonló incidensek korábban az eScan-t januárban, a Notepad++-t februárban és a CPUID-t áprilisban érintették.
Miért olyan veszélyesek az ellátási lánccal kapcsolatos támadások?
Az ellátási lánccal kapcsolatos feltörések továbbra is különösen veszélyesek, mivel kihasználják a felhasználók által a legitim szoftvergyártókba vetett inherens bizalmat. A közvetlenül hivatalos weboldalakról letöltött és érvényes digitális tanúsítványokkal aláírt alkalmazásokat a felhasználók vagy a biztonsági termékek ritkán tekintik gyanúsnak.
Ebben az esetben a rosszindulatú tevékenység állítólag közel egy hónapig észrevétlen maradt, ami rávilágít mind a támadók kifinomultságára, mind a hagyományos, külső védelmi rendszerek korlátaira. A biztonsági szakemberek hangsúlyozzák, hogy az érintett DAEMON Tools verziókat használó szervezeteknek azonnal el kell különíteniük az érintett rendszereket, és átfogó fenyegetésfelderítő műveleteket kell végezniük a vállalati hálózatokon belüli esetleges oldalirányú mozgás vagy további rosszindulatú tevékenységek azonosítása érdekében.
Szállítói válasz és ajánlott enyhítő lépések
Az AVB Disc Soft kijelentette, hogy a behatolás a szoftver Lite kiadására korlátozódik, és megerősítette, hogy folyamatban van a vizsgálat az incidens teljes mértékének és kiváltó okának megállapítására.
Azoknak a felhasználóknak, akik az érintett időszakban letöltötték vagy telepítették a DAEMON Tools Lite 12.5.1-es verzióját, határozottan javasoljuk, hogy azonnal távolítsák el a szoftvert, végezzenek teljes vírusvédelmi és végpontbiztonsági vizsgálatot megbízható biztonsági eszközökkel, és csak a legújabb, tiszta kiadást telepítsék újra, amelyet közvetlenül a DAEMON Tools hivatalos webhelyéről szereztek be.
