DAEMON Tools Supply Chain Attack
Onderzoekers op het gebied van cyberbeveiliging hebben een geavanceerde supply chain-aanval ontdekt waarbij installatieprogramma's van DAEMON Tools betrokken waren. Aanvallers wisten officiële Windows-installatieprogramma's, die via de legitieme website van DAEMON Tools werden verspreid, te compromitteren en kwaadaardige code in digitaal ondertekende softwarepakketten te plaatsen. Omdat de installatieprogramma's authentieke ontwikkelaarscertificaten bevatten, leek de malware betrouwbaar en kon deze gemakkelijk conventionele beveiligingsmaatregelen omzeilen.
De gecompromitteerde installatieversies varieerden van 12.5.0.2421 tot 12.5.0.2434, waarbij de kwaadwillige activiteiten terug te voeren waren tot 8 april 2026. Alleen de Windows-versie van de software was getroffen; de Mac-versie bleef onaangetast. Na de bekendmaking van het incident bracht ontwikkelaar AVB Disc Soft versie 12.6.0.2445 uit, die de kwaadwillige functionaliteit verwijdert en het beveiligingslek verhelpt.
Inhoudsopgave
Kwaadaardige componenten verborgen in legitieme processen
Onderzoekers ontdekten dat aanvallers drie cruciale onderdelen van DAEMON Tools hadden aangepast:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Wanneer een van deze binaire bestanden werd uitgevoerd, meestal tijdens het opstarten van het systeem, activeerde het een verborgen implant op de geïnfecteerde machine. De implant communiceerde met een extern domein, env-check.daemontools.cc, geregistreerd op 27 maart 2026, om shell-opdrachten te onderscheppen die werden uitgevoerd via het Windows cmd.exe-proces.
De gedownloade commando's activeerden de verdere verspreiding van malware, waardoor aanvallers hun controle over de gecompromitteerde systemen konden uitbreiden en tegelijkertijd verborgen konden blijven binnen het vertrouwde gedrag van de software.
Malware-implementatie in meerdere fasen baart zorgen.
De aanvalsketen omvatte verschillende secundaire payloads die ontworpen waren voor verkenning, persistentie en afstandsbediening. Onder de ingezette bestanden bevonden zich:
envchk.exe — een op .NET gebaseerd verkenningsprogramma dat gedetailleerde systeeminformatie kan verzamelen.
cdg.exe en cdg.tmp zijn componenten die worden gebruikt om een lichtgewicht backdoor te decoderen en te starten. Deze backdoor is in staat bestanden te downloaden, shell-opdrachten uit te voeren en shellcode rechtstreeks in het geheugen uit te voeren.
Beveiligingsanalisten hebben ook de verspreiding van een remote access trojan genaamd QUIC RAT vastgesteld. Deze malware ondersteunt diverse Command-and-Control (C2)-communicatiemethoden, waaronder HTTP, TCP, UDP, DNS, WSS, QUIC en HTTP/3. Bovendien kan het schadelijke payloads injecteren in legitieme Windows-processen zoals notepad.exe en conhost.exe, waardoor detectie aanzienlijk moeilijker wordt.
Duizenden mensen blootgesteld, maar slechts een selecte groep slachtoffers doelwit.
Onderzoekers observeerden duizenden infectiepogingen die verband hielden met de gecompromitteerde installatieprogramma's in meer dan 100 landen, waaronder Rusland, Brazilië, Turkije, Duitsland, Frankrijk, Italië, Spanje en China. Ondanks de wijdverspreide infectie ontving slechts een beperkt aantal systemen de geavanceerde backdoor-payload, wat wijst op een zeer selectieve aanvalsstrategie.
De daaropvolgende malware werd gedetecteerd bij organisaties actief in de detailhandel, wetenschappelijk onderzoek, overheid, productie en het onderwijs in Rusland, Wit-Rusland en Thailand. Eén bevestigde QUIC RAT-infectie was specifiek gericht op een onderwijsinstelling in Rusland.
Deze selectieve inzet suggereert sterk dat de campagne was ontworpen voor precieze doelwitten in plaats van willekeurige massale infectie. Onderzoekers hebben echter nog niet vastgesteld of de aanvallers van plan waren cyberespionageoperaties uit te voeren of financieel gemotiveerde aanvallen om grote doelen te bereiken.
Bewijs wijst op een geavanceerde, Chinees sprekende bedreiging.
Hoewel er officieel geen bekende dreigingsgroep aan de operatie is gekoppeld, wijst forensisch onderzoek van de malware-sporen op de betrokkenheid van een Chinees sprekende tegenstander. De complexiteit van de inbraak, in combinatie met de mogelijkheid om ondertekende software te compromitteren die via een officieel leverancierskanaal wordt verspreid, toont geavanceerde offensieve capaciteiten en een langetermijnplanning aan.
De inbreuk op DAEMON Tools sluit aan bij een groeiende golf van aanvallen op de softwareleveringsketen die in de eerste helft van 2026 zijn waargenomen. Soortgelijke incidenten troffen eerder eScan in januari, Notepad++ in februari en CPUID in april.
Waarom aanvallen op de toeleveringsketen zo gevaarlijk zijn
Compromittering van de toeleveringsketen blijft bijzonder gevaarlijk omdat het misbruik maakt van het inherente vertrouwen dat gebruikers stellen in legitieme softwareleveranciers. Applicaties die rechtstreeks van officiële websites worden gedownload en ondertekend met geldige digitale certificaten worden zelden als verdacht beschouwd door gebruikers of beveiligingsproducten.
In dit geval bleef de kwaadwillige activiteit naar verluidt bijna een maand onopgemerkt, wat zowel de geavanceerdheid van de aanvallers als de beperkingen van traditionele, op de netwerkperimeter gebaseerde beveiligingsmaatregelen benadrukt. Beveiligingsdeskundigen benadrukken dat organisaties die getroffen versies van DAEMON Tools gebruiken, de getroffen systemen onmiddellijk moeten isoleren en uitgebreide opsporingsoperaties moeten uitvoeren om mogelijke laterale verplaatsingen of aanvullende kwaadwillige activiteiten binnen bedrijfsnetwerken te identificeren.
Reactie van de leverancier en aanbevolen maatregelen om de problemen te verhelpen
AVB Disc Soft heeft verklaard dat de inbreuk zich lijkt te beperken tot de Lite-editie van de software en heeft bevestigd dat er een onderzoek gaande is om de volledige omvang en de oorzaak van het incident vast te stellen.
Gebruikers die DAEMON Tools Lite versie 12.5.1 hebben gedownload of geïnstalleerd tijdens de betreffende periode, wordt ten zeerste aangeraden de software onmiddellijk te verwijderen, een volledige antivirus- en endpointbeveiligingsscan uit te voeren met behulp van betrouwbare beveiligingsprogramma's en alleen de nieuwste, schone versie te installeren die rechtstreeks van de officiële DAEMON Tools-website kan worden gedownload.
