Útok na dodávateľský reťazec DAEMON Tools
Výskumníci v oblasti kybernetickej bezpečnosti odhalili sofistikovaný útok na dodávateľský reťazec, do ktorého boli zapojení inštalátori nástroja DAEMON Tools. Útočníci úspešne napadli oficiálne inštalátory systému Windows distribuované prostredníctvom legitímnej webovej stránky DAEMON Tools a vložili škodlivý kód do digitálne podpísaných softvérových balíkov. Keďže inštalátory obsahovali autentické certifikáty vývojárov, malvér sa javil ako dôveryhodný a ľahko obchádzal konvenčné bezpečnostné opatrenia.
Napadnuté verzie inštalátora sa pohybovali od 12.5.0.2421 do 12.5.0.2434, pričom škodlivá aktivita sa datovala až do 8. apríla 2026. Zasiahnutá bola iba verzia softvéru pre Windows, zatiaľ čo verzia pre Mac zostala nedotknutá. Po odhalení incidentu vydal vývojár AVB Disc Soft verziu 12.6.0.2445, ktorá odstraňuje škodlivú funkciu a rieši narušenie.
Obsah
Škodlivé komponenty skryté v legitímnych procesoch
Vyšetrovatelia zistili, že útočníci upravili tri kľúčové komponenty nástroja DAEMON Tools:
- Súbor DTHelper.exe
- Súbor DiscSoftBusServiceLite.exe
- Súbor DTShellHlp.exe
Vždy, keď sa ktorýkoľvek z týchto binárnych súborov spustil, zvyčajne počas štartu systému, aktivoval skrytý implantát na infikovanom počítači. Implantát komunikoval s externou doménou env-check.daemontools.cc, zaregistrovanou 27. marca 2026, aby načítal príkazy shellu vykonané prostredníctvom procesu cmd.exe systému Windows.
Stiahnuté príkazy spustili ďalšie nasadenie škodlivého softvéru, čo útočníkom umožnilo rozšíriť kontrolu nad napadnutými systémami a zároveň zostať skrytí v rámci dôveryhodného softvérového správania.
Viacstupňové nasadenie malvéru vyvoláva poplach
Útočný reťazec zahŕňal niekoľko sekundárnych užitočných údajov určených na prieskum, vytrvalosť a diaľkové ovládanie. Medzi nasadenými súbormi boli:
envchk.exe — prieskumný nástroj založený na .NET, ktorý dokáže zhromažďovať podrobné systémové informácie.
cdg.exe a cdg.tmp – komponenty používané na dešifrovanie a spustenie ľahkých backdoorov schopných sťahovať súbory, vykonávať príkazy shellu a spúšťať shellcode priamo v pamäti.
Bezpečnostní analytici tiež identifikovali doručenie trójskeho koňa pre vzdialený prístup známeho ako QUIC RAT. Malvér podporuje množstvo metód komunikácie Command-and-Control (C2) vrátane HTTP, TCP, UDP, DNS, WSS, QUIC a HTTP/3. Okrem toho môže vkladať škodlivé dáta do legitímnych procesov systému Windows, ako sú notepad.exe a conhost.exe, čo výrazne sťažuje jeho detekciu.
Tisíce odhalených, ale cielené sú len vybrané obete
Výskumníci zaznamenali niekoľko tisíc pokusov o infekciu spojených s napadnutými inštalátormi vo viac ako 100 krajinách vrátane Ruska, Brazílie, Turecka, Nemecka, Francúzska, Talianska, Španielska a Číny. Napriek širokej škále infekcie sa pokročilý backdoor dostal len obmedzený počet systémov, čo naznačuje vysoko selektívnu stratégiu zacielenia.
Následný malvér bol zistený v organizáciách pôsobiacich v maloobchode, vedeckom výskume, vláde, výrobe a vzdelávacom sektore v Rusku, Bielorusku a Thajsku. Jedna potvrdená infekcia QUIC RAT bola cielene zameraná na vzdelávaciu inštitúciu v Rusku.
Toto selektívne nasadenie silne naznačuje, že kampaň bola navrhnutá skôr na presné zacielenie než na nerozlišovaciu hromadnú infekciu. Výskumníci však zatiaľ neurčili, či útočníci zamýšľali vykonávať kyberšpionážne operácie alebo finančne motivované útoky zamerané na „lov veľkej zveri“.
Dôkazy poukazujú na sofistikovaného čínsky hovoriaceho aktéra hrozby
Hoci s operáciou oficiálne nebola spojená žiadna známa skupina hrozby, forenzná analýza artefaktov škodlivého softvéru naznačuje zapojenie čínsky hovoriaceho protivníka. Zložitosť prieniku v kombinácii so schopnosťou kompromitovať podpísaný softvér distribuovaný prostredníctvom oficiálneho dodávateľského kanála demonštruje pokročilé útočné schopnosti a dlhodobé operačné plánovanie.
Kompromitácia nástrojov DAEMON sa pripája k rastúcej vlne útokov na dodávateľský reťazec softvéru, ktoré boli pozorované počas prvej polovice roka 2026. Podobné incidenty predtým postihli eScan v januári, Notepad++ vo februári a CPUID v apríli.
Prečo sú útoky na dodávateľský reťazec také nebezpečné
Kompromitácie v dodávateľskom reťazci zostávajú obzvlášť nebezpečné, pretože zneužívajú inherentnú dôveru, ktorú používatelia vkladajú do legitímnych dodávateľov softvéru. Aplikácie stiahnuté priamo z oficiálnych webových stránok a podpísané platnými digitálnymi certifikátmi sú používateľmi alebo bezpečnostnými produktmi zriedkavo považované za podozrivé.
V tomto prípade údajne škodlivá aktivita zostala nezistená takmer mesiac, čo poukazuje na sofistikovanosť útočníkov aj na obmedzenia tradičných obranných mechanizmov založených na perimetri. Bezpečnostní odborníci zdôrazňujú, že organizácie používajúce postihnuté verzie nástrojov DAEMON Tools by mali okamžite izolovať postihnuté systémy a vykonať komplexné operácie na vyhľadávanie hrozieb s cieľom identifikovať možný laterálny pohyb alebo ďalšiu škodlivú aktivitu v rámci podnikových sietí.
Reakcia dodávateľa a odporúčané kroky na zmiernenie problémov
Spoločnosť AVB Disc Soft uviedla, že narušenie sa zrejme obmedzuje na edíciu softvéru Lite a potvrdila, že prebieha vyšetrovanie s cieľom určiť úplný rozsah a hlavnú príčinu incidentu.
Používateľom, ktorí si stiahli alebo nainštalovali DAEMON Tools Lite verzie 12.5.1 počas dotknutého časového obdobia, sa dôrazne odporúča, aby softvér okamžite odstránili, vykonali kompletnú antivírusovú a bezpečnostnú kontrolu koncových bodov pomocou dôveryhodných bezpečnostných nástrojov a preinštalovali iba najnovšiu čistú verziu získanú priamo z oficiálnej webovej stránky DAEMON Tools.
