డెమోన్ టూల్స్ సరఫరా గొలుసు దాడి

సైబర్‌ సెక్యూరిటీ పరిశోధకులు DAEMON Tools ఇన్‌స్టాలర్‌లకు సంబంధించిన ఒక అధునాతన సప్లై చైన్ దాడిని కనుగొన్నారు. హానికరమైన వ్యక్తులు, చట్టబద్ధమైన DAEMON Tools వెబ్‌సైట్ ద్వారా పంపిణీ చేయబడిన అధికారిక విండోస్ ఇన్‌స్టాలర్‌లను విజయవంతంగా హ్యాక్ చేసి, డిజిటల్‌గా సంతకం చేసిన సాఫ్ట్‌వేర్ ప్యాకేజీలలో హానికరమైన కోడ్‌ను చొప్పించారు. ఆ ఇన్‌స్టాలర్‌లు ప్రామాణికమైన డెవలపర్ సర్టిఫికేట్‌లను కలిగి ఉన్నందున, ఆ మాల్వేర్ నమ్మదగినదిగా కనిపించి, సాంప్రదాయ భద్రతా రక్షణలను సులభంగా అధిగమించింది.

హ్యాక్ చేయబడిన ఇన్‌స్టాలర్ వెర్షన్‌లు 12.5.0.2421 నుండి 12.5.0.2434 వరకు ఉన్నాయి, మరియు ఈ హానికరమైన చర్య ఏప్రిల్ 8, 2026 నాటిదని గుర్తించారు. ఈ సాఫ్ట్‌వేర్ యొక్క విండోస్ ఎడిషన్ మాత్రమే ప్రభావితమైంది, అయితే మ్యాక్ వెర్షన్‌కు ఎలాంటి నష్టం జరగలేదు. ఈ సంఘటన వెలుగులోకి వచ్చిన తర్వాత, డెవలపర్ ఏవీబీ డిస్క్ సాఫ్ట్, హానికరమైన కార్యాచరణను తొలగించి, ఉల్లంఘనను పరిష్కరించే వెర్షన్ 12.6.0.2445ను విడుదల చేసింది.

చట్టబద్ధమైన ప్రక్రియలలో దాగి ఉన్న హానికరమైన అంశాలు

దాడి చేసినవారు DAEMON Toolsలోని మూడు కీలక భాగాలను సవరించారని దర్యాప్తు అధికారులు కనుగొన్నారు:

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

ఈ బైనరీలలో ఏది ప్రారంభమైనప్పటికీ, సాధారణంగా సిస్టమ్ స్టార్టప్ సమయంలో, అవి సోకిన మెషీన్‌లో దాగి ఉన్న ఇంప్లాంట్‌ను యాక్టివేట్ చేశాయి. ఆ ఇంప్లాంట్, విండోస్ cmd.exe ప్రాసెస్ ద్వారా అమలు చేయబడిన షెల్ కమాండ్‌లను తిరిగి పొందడానికి, మార్చి 27, 2026న రిజిస్టర్ చేయబడిన env-check.daemontools.cc అనే బాహ్య డొమైన్‌తో కమ్యూనికేట్ చేసింది.

డౌన్‌లోడ్ చేయబడిన ఆదేశాలు అదనపు మాల్వేర్ విస్తరణను ప్రేరేపించాయి, దీనివల్ల దాడి చేసేవారు విశ్వసనీయ సాఫ్ట్‌వేర్ ప్రవర్తనలో దాగి ఉంటూనే, రాజీపడిన సిస్టమ్‌లపై తమ నియంత్రణను విస్తరించుకోగలిగారు.

బహుళ-దశల మాల్వేర్ విస్తరణ ఆందోళన కలిగిస్తోంది

ఈ దాడి గొలుసులో నిఘా, కొనసాగింపు మరియు రిమోట్ కంట్రోల్ కోసం రూపొందించిన అనేక ద్వితీయ పేలోడ్‌లు ఉన్నాయి. మోహరించిన ఫైళ్ళలో ఇవి ఉన్నాయి:

envchk.exe — వివరణాత్మక సిస్టమ్ సమాచారాన్ని సేకరించగల ఒక .NET-ఆధారిత నిఘా సాధనం.
cdg.exe మరియు cdg.tmp — ఫైళ్లను డౌన్‌లోడ్ చేయడం, షెల్ ఆదేశాలను అమలు చేయడం మరియు నేరుగా మెమరీలో షెల్‌కోడ్‌ను అమలు చేయగల సామర్థ్యం ఉన్న ఒక తేలికపాటి బ్యాక్‌డోర్‌ను డీక్రిప్ట్ చేసి, ప్రారంభించడానికి ఉపయోగించే భాగాలు.

భద్రతా విశ్లేషకులు QUIC RAT అని పిలువబడే ఒక రిమోట్ యాక్సెస్ ట్రోజన్ డెలివరీని కూడా గుర్తించారు. ఈ మాల్వేర్ HTTP, TCP, UDP, DNS, WSS, QUIC, మరియు HTTP/3 సహా అనేక కమాండ్-అండ్-కంట్రోల్ (C2) కమ్యూనికేషన్ పద్ధతులకు మద్దతు ఇస్తుంది. అదనంగా, ఇది notepad.exe మరియు conhost.exe వంటి చట్టబద్ధమైన విండోస్ ప్రాసెస్‌లలోకి హానికరమైన పేలోడ్‌లను చొప్పించగలదు, దీనివల్ల దానిని గుర్తించడం గణనీయంగా కష్టతరం అవుతుంది.

వేలాది మంది బహిర్గతమయ్యారు, కానీ ఎంపిక చేసిన బాధితులను మాత్రమే లక్ష్యంగా చేసుకున్నారు

రష్యా, బ్రెజిల్, టర్కీ, జర్మనీ, ఫ్రాన్స్, ఇటలీ, స్పెయిన్ మరియు చైనాతో సహా 100 కంటే ఎక్కువ దేశాలలో, హ్యాక్ చేయబడిన ఇన్‌స్టాలర్‌లకు సంబంధించిన అనేక వేల ఇన్ఫెక్షన్ ప్రయత్నాలను పరిశోధకులు గమనించారు. ఇన్ఫెక్షన్ ఇంత విస్తృతంగా వ్యాపించినప్పటికీ, పరిమిత సంఖ్యలో సిస్టమ్‌లు మాత్రమే అధునాతన బ్యాక్‌డోర్ పేలోడ్‌ను అందుకున్నాయి, ఇది అత్యంత ఎంపికతో కూడిన లక్ష్య వ్యూహాన్ని సూచిస్తుంది.

రష్యా, బెలారస్ మరియు థాయ్‌లాండ్‌లోని రిటైల్, శాస్త్రీయ పరిశోధన, ప్రభుత్వ, తయారీ మరియు విద్యా రంగాలలో పనిచేస్తున్న సంస్థలలో తదుపరి మాల్వేర్‌ను గుర్తించారు. ధృవీకరించబడిన ఒక QUIC RAT ఇన్ఫెక్షన్ ప్రత్యేకంగా రష్యాలోని ఒక విద్యా సంస్థను లక్ష్యంగా చేసుకుంది.

ఈ ఎంపిక చేసిన విస్తరణ, ఈ దాడిని విచక్షణారహితంగా సామూహికంగా వ్యాప్తి చేయడం కోసం కాకుండా, కచ్చితమైన లక్ష్యాలను నిర్దేశించుకోవడానికి రూపొందించినట్లు గట్టిగా సూచిస్తోంది. అయితే, దాడి చేసినవారు సైబర్ గూఢచర్య కార్యకలాపాలు నిర్వహించాలని ఉద్దేశించారా లేక ఆర్థిక ప్రేరేపిత 'పెద్ద లక్ష్యాల వేట' దాడులను చేయాలనుకున్నారా అనేది పరిశోధకులు ఇంకా నిర్ధారించలేదు.

అధునాతన చైనీస్ మాట్లాడే ముప్పు కలిగించే వ్యక్తి ఉన్నట్లు ఆధారాలు సూచిస్తున్నాయి

ఈ ఆపరేషన్‌తో అధికారికంగా ఏ ముప్పు సమూహానికి సంబంధం ఉన్నట్లు తేలనప్పటికీ, మాల్వేర్ అవశేషాల ఫోరెన్సిక్ విశ్లేషణ చైనీస్ మాట్లాడే శత్రువు ప్రమేయాన్ని సూచిస్తోంది. ఈ చొరబాటు యొక్క సంక్లిష్టత, అధికారిక విక్రేత మార్గం ద్వారా పంపిణీ చేయబడిన సంతకం చేసిన సాఫ్ట్‌వేర్‌ను దెబ్బతీయగల సామర్థ్యంతో కలిసి, అధునాతన దాడి సామర్థ్యాలను మరియు దీర్ఘకాలిక కార్యాచరణ ప్రణాళికను ప్రదర్శిస్తుంది.

2026 మొదటి అర్ధభాగం అంతటా గమనించిన సాఫ్ట్‌వేర్ సప్లై చైన్ దాడుల పెరుగుతున్న పరంపరలో DAEMON Tools రాజీ కూడా చేరింది. ఇలాంటి సంఘటనలు గతంలో జనవరిలో eScan, ఫిబ్రవరిలో Notepad++, మరియు ఏప్రిల్‌లో CPUID లను ప్రభావితం చేశాయి.

సరఫరా గొలుసు దాడులు ఎందుకు అంత ప్రమాదకరమైనవి

సరఫరా గొలుసులో జరిగే రాజీలు చాలా ప్రమాదకరంగా ఉంటాయి, ఎందుకంటే అవి చట్టబద్ధమైన సాఫ్ట్‌వేర్ విక్రేతలపై వినియోగదారులు ఉంచే సహజమైన నమ్మకాన్ని దుర్వినియోగం చేస్తాయి. అధికారిక వెబ్‌సైట్‌ల నుండి నేరుగా డౌన్‌లోడ్ చేయబడి, చెల్లుబాటు అయ్యే డిజిటల్ సర్టిఫికేట్‌లతో సంతకం చేయబడిన అప్లికేషన్‌లను వినియోగదారులు లేదా భద్రతా ఉత్పత్తులు అనుమానాస్పదంగా పరిగణించవు.

ఈ సందర్భంలో, హానికరమైన చర్య దాదాపు ఒక నెల పాటు గుర్తించబడకుండానే ఉండిపోయిందని నివేదించబడింది. ఇది దాడి చేసేవారి నైపుణ్యాన్ని, అలాగే సాంప్రదాయ పరిధి-ఆధారిత భద్రతా రక్షణల పరిమితులను స్పష్టం చేస్తుంది. ప్రభావితమైన DAEMON Tools వెర్షన్‌లను ఉపయోగిస్తున్న సంస్థలు, ప్రభావితమైన సిస్టమ్‌లను వెంటనే వేరుచేసి, కార్పొరేట్ నెట్‌వర్క్‌లలో సాధ్యమయ్యే పార్శ్వ కదలికను లేదా అదనపు హానికరమైన చర్యను గుర్తించడానికి సమగ్రమైన ముప్పు-వేట కార్యకలాపాలను నిర్వహించాలని భద్రతా నిపుణులు నొక్కి చెబుతున్నారు.

విక్రేత ప్రతిస్పందన మరియు సిఫార్సు చేయబడిన ఉపశమన చర్యలు

ఈ ఉల్లంఘన సాఫ్ట్‌వేర్ యొక్క లైట్ ఎడిషన్‌కు మాత్రమే పరిమితమైనట్లు కనిపిస్తోందని ఏవీబీ డిస్క్ సాఫ్ట్ పేర్కొంది మరియు ఈ సంఘటన యొక్క పూర్తి పరిధిని, మూల కారణాన్ని నిర్ధారించడానికి దర్యాప్తు కొనసాగుతోందని ధృవీకరించింది.

ప్రభావిత కాల వ్యవధిలో DAEMON Tools Lite వెర్షన్ 12.5.1ని డౌన్‌లోడ్ లేదా ఇన్‌స్టాల్ చేసుకున్న వినియోగదారులకు గట్టిగా సూచించునది ఏమనగా, సాఫ్ట్‌వేర్‌ను వెంటనే తొలగించి, విశ్వసనీయమైన భద్రతా సాధనాలను ఉపయోగించి పూర్తి యాంటీవైరస్ మరియు ఎండ్‌పాయింట్ సెక్యూరిటీ స్కాన్ చేసి, అధికారిక DAEMON Tools వెబ్‌సైట్ నుండి నేరుగా పొందిన తాజా క్లీన్ రిలీజ్‌ను మాత్రమే తిరిగి ఇన్‌స్టాల్ చేసుకోండి.