เครื่องมือ DAEMON โจมตีห่วงโซ่อุปทาน

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบการโจมตีห่วงโซ่อุปทานที่ซับซ้อนซึ่งเกี่ยวข้องกับโปรแกรมติดตั้ง DAEMON Tools ผู้โจมตีประสบความสำเร็จในการเจาะระบบโปรแกรมติดตั้ง Windows อย่างเป็นทางการที่เผยแพร่ผ่านเว็บไซต์ DAEMON Tools ที่ถูกต้องตามกฎหมาย โดยฝังโค้ดที่เป็นอันตรายลงในแพ็กเกจซอฟต์แวร์ที่ลงนามแบบดิจิทัล เนื่องจากโปรแกรมติดตั้งมีใบรับรองผู้พัฒนาที่ถูกต้อง มัลแวร์จึงดูน่าเชื่อถือและสามารถหลบเลี่ยงระบบป้องกันความปลอดภัยแบบเดิมได้อย่างง่ายดาย

เวอร์ชันของโปรแกรมติดตั้งที่ถูกบุกรุกมีตั้งแต่ 12.5.0.2421 ถึง 12.5.0.2434 โดยสามารถติดตามกิจกรรมที่เป็นอันตรายย้อนกลับไปได้ถึงวันที่ 8 เมษายน 2569 มีเพียงเวอร์ชันสำหรับ Windows เท่านั้นที่ได้รับผลกระทบ ในขณะที่เวอร์ชันสำหรับ Mac ไม่ได้รับผลกระทบใดๆ หลังจากการเปิดเผยเหตุการณ์ดังกล่าว บริษัทผู้พัฒนา AVB Disc Soft ได้ออกเวอร์ชัน 12.6.0.2445 ซึ่งได้ลบฟังก์ชันที่เป็นอันตรายและแก้ไขปัญหาการละเมิดแล้ว

ส่วนประกอบที่เป็นอันตรายซ่อนอยู่ภายในกระบวนการทำงานที่ถูกต้องตามกฎหมาย

ผู้ตรวจสอบพบว่าผู้โจมตีได้ดัดแปลงส่วนประกอบสำคัญสามส่วนของ DAEMON Tools:

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

เมื่อใดก็ตามที่ไฟล์ไบนารีเหล่านี้ถูกเรียกใช้งาน โดยปกติจะเกิดขึ้นระหว่างการเริ่มต้นระบบ ไฟล์เหล่านั้นจะเปิดใช้งานมัลแวร์แฝงบนเครื่องที่ติดไวรัส มัลแวร์ดังกล่าวจะสื่อสารกับโดเมนภายนอก env-check.daemontools.cc ซึ่งจดทะเบียนเมื่อวันที่ 27 มีนาคม 2026 เพื่อดึงคำสั่งเชลล์ที่ถูกเรียกใช้งานผ่านกระบวนการ cmd.exe ของ Windows

คำสั่งที่ดาวน์โหลดมานั้นกระตุ้นให้เกิดการติดตั้งมัลแวร์เพิ่มเติม ทำให้ผู้โจมตีสามารถขยายการควบคุมระบบที่ถูกบุกรุกได้โดยยังคงซ่อนตัวอยู่ภายใต้พฤติกรรมของซอฟต์แวร์ที่ดูน่าเชื่อถือ

การแพร่กระจายมัลแวร์หลายขั้นตอนก่อให้เกิดความกังวล

ลำดับการโจมตีประกอบด้วยเพย์โหลดรองหลายตัวที่ออกแบบมาเพื่อการสอดแนม การคงอยู่ และการควบคุมระยะไกล ไฟล์ที่ถูกส่งไปนั้นได้แก่:

envchk.exe — เครื่องมือสอดแนมที่ใช้ .NET ซึ่งสามารถรวบรวมข้อมูลระบบโดยละเอียดได้
cdg.exe และ cdg.tmp — ส่วนประกอบที่ใช้ในการถอดรหัสและเรียกใช้แบ็กดอร์ขนาดเล็กที่สามารถดาวน์โหลดไฟล์ เรียกใช้คำสั่งเชลล์ และรันเชลล์โค้ดโดยตรงในหน่วยความจำ

นักวิเคราะห์ด้านความปลอดภัยยังตรวจพบการแพร่กระจายของมัลแวร์ประเภทโทรจันสำหรับการเข้าถึงระยะไกลที่รู้จักกันในชื่อ QUIC RAT มัลแวร์นี้รองรับวิธีการสื่อสารแบบควบคุมและสั่งการ (C2) หลายวิธี รวมถึง HTTP, TCP, UDP, DNS, WSS, QUIC และ HTTP/3 นอกจากนี้ยังสามารถแทรกโค้ดที่เป็นอันตรายเข้าไปในกระบวนการทำงานของ Windows ที่ถูกต้อง เช่น notepad.exe และ conhost.exe ทำให้การตรวจจับทำได้ยากขึ้นอย่างมาก

มีคนหลายพันคนถูกเปิดโปง แต่มีเพียงเหยื่อบางกลุ่มเท่านั้นที่ตกเป็นเป้าหมาย

นักวิจัยตรวจพบความพยายามในการแพร่กระจายมัลแวร์หลายพันครั้งที่เชื่อมโยงกับโปรแกรมติดตั้งที่ถูกบุกรุกในกว่า 100 ประเทศ รวมถึงรัสเซีย บราซิล ตุรกี เยอรมนี ฝรั่งเศส อิตาลี สเปน และจีน แม้ว่าการแพร่กระจายจะกว้างขวาง แต่มีเพียงระบบจำนวนจำกัดเท่านั้นที่ได้รับมัลแวร์ประเภทแบ็กดอร์ขั้นสูง ซึ่งบ่งชี้ถึงกลยุทธ์การกำหนดเป้าหมายที่เลือกเป้าหมายได้อย่างแม่นยำ

ตรวจพบมัลแวร์รุ่นต่อมาในองค์กรที่ดำเนินงานในภาคค้าปลีก การวิจัยทางวิทยาศาสตร์ ภาครัฐ การผลิต และการศึกษาทั่วประเทศรัสเซีย เบลารุส และไทย โดยเฉพาะอย่างยิ่ง การติดเชื้อ QUIC RAT ที่ได้รับการยืนยันแล้วหนึ่งครั้ง มุ่งเป้าไปที่สถาบันการศึกษาแห่งหนึ่งในรัสเซีย

การโจมตีแบบเลือกเป้าหมายนี้ชี้ให้เห็นอย่างชัดเจนว่าแคมเปญนี้ออกแบบมาเพื่อการกำหนดเป้าหมายอย่างแม่นยำมากกว่าการแพร่เชื้อแบบไม่เลือกปฏิบัติ อย่างไรก็ตาม นักวิจัยยังไม่สามารถระบุได้ว่าผู้โจมตีตั้งใจที่จะดำเนินการจารกรรมทางไซเบอร์หรือโจมตีเพื่อหวังผลกำไรก้อนใหญ่กันแน่

หลักฐานชี้ไปที่ผู้คุกคามที่มีความเชี่ยวชาญและพูดภาษาจีนได้

แม้ว่าจะยังไม่มีกลุ่มภัยคุกคามใดถูกเชื่อมโยงอย่างเป็นทางการกับปฏิบัติการนี้ แต่การวิเคราะห์ทางนิติวิทยาศาสตร์ของหลักฐานมัลแวร์ชี้ให้เห็นถึงการมีส่วนร่วมของผู้โจมตีที่พูดภาษาจีน ความซับซ้อนของการเจาะระบบ ประกอบกับความสามารถในการเจาะซอฟต์แวร์ที่ลงนามแล้วซึ่งเผยแพร่ผ่านช่องทางผู้จำหน่ายอย่างเป็นทางการ แสดงให้เห็นถึงขีดความสามารถในการโจมตีขั้นสูงและการวางแผนปฏิบัติการระยะยาว

การโจมตี DAEMON Tools ครั้งนี้เป็นส่วนหนึ่งของคลื่นการโจมตีห่วงโซ่อุปทานซอฟต์แวร์ที่เพิ่มขึ้นเรื่อยๆ ซึ่งพบเห็นได้ตลอดช่วงครึ่งแรกของปี 2026 เหตุการณ์ที่คล้ายกันนี้เคยเกิดขึ้นกับ eScan ในเดือนมกราคม, Notepad++ ในเดือนกุมภาพันธ์ และ CPUID ในเดือนเมษายนมาแล้ว

เหตุใดการโจมตีห่วงโซ่อุปทานจึงอันตรายมาก

การบุกรุกในห่วงโซ่อุปทานยังคงเป็นอันตรายอย่างยิ่ง เพราะเป็นการใช้ประโยชน์จากความไว้วางใจที่ผู้ใช้มีต่อผู้จำหน่ายซอฟต์แวร์ที่ถูกต้องตามกฎหมาย แอปพลิเคชันที่ดาวน์โหลดโดยตรงจากเว็บไซต์อย่างเป็นทางการและลงนามด้วยใบรับรองดิจิทัลที่ถูกต้องนั้น แทบจะไม่ถูกผู้ใช้หรือผลิตภัณฑ์รักษาความปลอดภัยมองว่าน่าสงสัยเลย

ในกรณีนี้ มีรายงานว่ากิจกรรมที่เป็นอันตรายยังคงไม่ถูกตรวจพบเป็นเวลาเกือบหนึ่งเดือน ซึ่งแสดงให้เห็นถึงความซับซ้อนของผู้โจมตีและข้อจำกัดของระบบป้องกันความปลอดภัยแบบดั้งเดิมที่เน้นการป้องกันรอบด้าน ผู้เชี่ยวชาญด้านความปลอดภัยเน้นย้ำว่าองค์กรที่ใช้ DAEMON Tools เวอร์ชันที่ได้รับผลกระทบควรแยกส่วนระบบที่ได้รับผลกระทบโดยทันทีและดำเนินการค้นหาภัยคุกคามอย่างครอบคลุมเพื่อระบุการเคลื่อนไหวภายในเครือข่ายหรือกิจกรรมที่เป็นอันตรายเพิ่มเติมที่อาจเกิดขึ้นภายในเครือข่ายขององค์กร

การตอบสนองของผู้จำหน่ายและขั้นตอนการบรรเทาผลกระทบที่แนะนำ

บริษัท AVB Disc Soft ระบุว่า การละเมิดข้อมูลดูเหมือนจะจำกัดอยู่เฉพาะซอฟต์แวร์รุ่น Lite และยืนยันว่ากำลังดำเนินการสอบสวนเพื่อหาขอบเขตและสาเหตุที่แท้จริงของเหตุการณ์นี้

ขอแนะนำอย่างยิ่งให้ผู้ใช้ที่ดาวน์โหลดหรือติดตั้ง DAEMON Tools Lite เวอร์ชัน 12.5.1 ในช่วงเวลาที่ได้รับผลกระทบ ลบซอฟต์แวร์ออกทันที ทำการสแกนไวรัสและตรวจสอบความปลอดภัยของอุปกรณ์ปลายทางอย่างละเอียดโดยใช้เครื่องมือรักษาความปลอดภัยที่เชื่อถือได้ และติดตั้งเวอร์ชันใหม่ล่าสุดที่สะอาดหมดจดจากเว็บไซต์อย่างเป็นทางการของ DAEMON Tools เท่านั้น