Напад на ланац снабдевања DAEMON Tools-а

Истраживачи сајбер безбедности открили су софистицирани напад на ланац снабдевања у који су умешани инсталатери DAEMON Tools-а. Претње су успешно компромитовале званичне инсталатере за Windows дистрибуиране преко легитимне веб странице DAEMON Tools, уграђујући злонамерни код у дигитално потписане софтверске пакете. Пошто су инсталатери имали аутентичне сертификате програмера, злонамерни софтвер је деловао поуздано и лако је заобилазио конвенционалне безбедносне одбране.

Угрожене верзије инсталатера кретале су се од 12.5.0.2421 до 12.5.0.2434, а злонамерна активност је праћена до 8. априла 2026. године. Погођена је само Windows верзија софтвера, док је Mac верзија остала нетакнута. Након откривања инцидента, програмер AVB Disc Soft је објавио верзију 12.6.0.2445, која уклања злонамерну функционалност и решава проблем.

Злонамерне компоненте скривене унутар легитимних процеса

Истражитељи су открили да су нападачи изменили три критичне компоненте DAEMON Tools-а:

• DTHelper.exe
• Датотека DiscSoftBusServiceLite.exe
• DTShellHlp.exe

Кад год би се било који од ових бинарних фајлова покренуо, обично током покретања система, активирали би скривени имплантат на зараженој машини. Имплантат је комуницирао са спољним доменом, env-check.daemontools.cc, регистрованим 27. марта 2026. године, како би преузео команде шкољке извршене путем процеса cmd.exe система Windows.

Преузете команде су покренуле додатно распоређивање злонамерног софтвера, омогућавајући нападачима да прошире контролу над угроженим системима, а да притом остану скривени унутар понашања поузданог софтвера.

Вишестепено распоређивање злонамерног софтвера подиже узбуну

Ланац напада је обухватао неколико секундарних корисних оптерећења дизајнираних за извиђање, истрајност и даљинско управљање. Међу распоређеним датотекама биле су:

envchk.exe — алат за извиђање базиран на .NET-у који може да прикупља детаљне системске информације.
cdg.exe и cdg.tmp — компоненте које се користе за дешифровање и покретање лаганог бекдора способног за преузимање датотека, извршавање шел команди и покретање шел кода директно у меморији.

Безбедносни аналитичари су такође идентификовали испоруку тројанског коња за даљински приступ познатог као QUIC RAT. Злонамерни софтвер подржава бројне методе комуникације типа „Command-and-Control“ (C2), укључујући HTTP, TCP, UDP, DNS, WSS, QUIC и HTTP/3. Поред тога, може да убризга злонамерне садржаје у легитимне Windows процесе као што су notepad.exe и conhost.exe, што знатно отежава откривање.

Хиљаде разоткривено, али само одабране жртве на мети

Истраживачи су посматрали неколико хиљада покушаја инфекције повезаних са компромитованим инсталатерима у више од 100 земаља, укључујући Русију, Бразил, Турску, Немачку, Француску, Италију, Шпанију и Кину. Упркос широком обиму инфекције, само ограничен број система је примио напредни бекдор корисни садржај, што указује на веома селективну стратегију циљања.

Накнадни злонамерни софтвер је откривен у организацијама које послују у малопродаји, научном истраживању, влади, производњи и образовном сектору широм Русије, Белорусије и Тајланда. Једна потврђена QUIC RAT инфекција је посебно била усмерена на образовну институцију у Русији.

Ово селективно распоређивање снажно указује на то да је кампања била осмишљена за прецизно циљање, а не за неселективну масовну инфекцију. Међутим, истраживачи још нису утврдили да ли су нападачи намеравали да спроводе операције сајбер шпијунаже или финансијски мотивисане нападе „лова на крупну дивљач“.

Докази указују на софистицираног актера претње који говори кинески језик

Иако ниједна позната претећа група није званично повезана са операцијом, форензичка анализа артефаката злонамерног софтвера сугерише учешће противника који говори кинески. Сложеност упада, у комбинацији са могућношћу компромитовања потписаног софтвера дистрибуираног преко званичног канала добављача, показује напредне офанзивне способности и дугорочно оперативно планирање.

Компромитовање DAEMON Tools-а придружило се растућем таласу напада на ланац снабдевања софтвером који су примећени током прве половине 2026. године. Слични инциденти су претходно погодили eScan у јануару, Notepad++ у фебруару и CPUID у априлу.

Зашто су напади на ланац снабдевања толико опасни

Компромиси у ланцу снабдевања остају посебно опасни јер злоупотребљавају инхерентно поверење које корисници имају у легитимне добављаче софтвера. Апликације преузете директно са званичних веб локација и потписане важећим дигиталним сертификатима корисници или безбедносни производи ретко третирају као сумњиве.

У овом случају, злонамерна активност је наводно остала неоткривена скоро месец дана, што истиче и софистицираност нападача и ограничења традиционалне безбедносне одбране засноване на периметру. Безбедносни стручњаци наглашавају да организације које користе погођене верзије DAEMON Tools-а треба одмах да изолују погођене системе и спроведу свеобухватне операције лова на претње како би идентификовале могуће бочно кретање или додатне злонамерне активности унутар корпоративних мрежа.

Одговор добављача и препоручени кораци за ублажавање

AVB Disc Soft је изјавио да је кршење изгледа ограничено на Lite издање софтвера и потврдио да је у току истрага како би се утврдио пуни обим и узрок инцидента.

Корисницима који су преузели или инсталирали DAEMON Tools Lite верзију 12.5.1 током погођеног временског периода, топло се саветује да одмах уклоне софтвер, изврше комплетно антивирусно и безбедносно скенирање крајњих тачака користећи поуздане безбедносне алате и поново инсталирају само најновију чисту верзију преузету директно са званичне веб странице DAEMON Tools.