Pag-atake sa Supply Chain ng DAEMON Tools
Natuklasan ng mga mananaliksik sa cybersecurity ang isang sopistikadong pag-atake sa supply chain na kinasasangkutan ng mga installer ng DAEMON Tools. Matagumpay na nakompromiso ng mga threat actor ang mga opisyal na installer ng Windows na ipinamamahagi sa pamamagitan ng lehitimong website ng DAEMON Tools, na naglalagay ng malisyosong code sa mga digitally signed na software package. Dahil ang mga installer ay may mga tunay na developer certificate, ang malware ay tila mapagkakatiwalaan at madaling nalampasan ang mga kumbensyonal na depensa sa seguridad.
Ang mga nakompromisong bersyon ng installer ay mula 12.5.0.2421 hanggang 12.5.0.2434, na may malisyosong aktibidad na naitala noong Abril 8, 2026. Tanging ang edisyon ng Windows ng software ang naapektuhan, habang ang bersyon ng Mac ay nanatiling hindi nagalaw. Kasunod ng pagbubunyag ng insidente, inilabas ng developer na AVB Disc Soft ang bersyon 12.6.0.2445, na nag-aalis ng malisyosong functionality at tumutugon sa paglabag.
Talaan ng mga Nilalaman
Mga Nakakahamak na Bahagi na Nakatago sa Loob ng mga Lehitimong Proseso
Natuklasan ng mga imbestigador na binago ng mga umaatake ang tatlong kritikal na bahagi ng DAEMON Tools:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Sa tuwing maglulunsad ang alinman sa mga binary na ito, kadalasan habang nagsisimula ang system, ina-activate nila ang isang nakatagong implant sa nahawaang makina. Ang implant ay nakikipag-ugnayan sa isang panlabas na domain, ang env-check.daemontools.cc, na nakarehistro noong Marso 27, 2026, upang makuha ang mga utos ng shell na isinagawa sa pamamagitan ng proseso ng Windows cmd.exe.
Ang mga na-download na utos ay nagdulot ng karagdagang pag-deploy ng malware, na nagbigay-daan sa mga attacker na palawakin ang kontrol sa mga nakompromisong sistema habang nananatiling nakatago sa loob ng pinagkakatiwalaang pag-uugali ng software.
Nagtataas ng Alarma ang Multi-Stage Malware Deployment
Ang kadena ng pag-atake ay kinasangkutan ng ilang pangalawang payload na idinisenyo para sa pagmamanman, pagpupursige, at remote control. Kabilang sa mga na-deploy na file ay:
envchk.exe — isang .NET-based na reconnaissance tool na may kakayahang mangolekta ng detalyadong impormasyon ng sistema.
cdg.exe at cdg.tmp — mga bahaging ginagamit upang i-decrypt at ilunsad ang isang magaan na backdoor na may kakayahang mag-download ng mga file, magsagawa ng mga utos ng shell, at magpatakbo ng shellcode nang direkta sa memorya.
Natukoy din ng mga security analyst ang paghahatid ng isang remote access trojan na kilala bilang QUIC RAT. Sinusuportahan ng malware ang maraming paraan ng komunikasyon na Command-and-Control (C2), kabilang ang HTTP, TCP, UDP, DNS, WSS, QUIC, at HTTP/3. Bukod pa rito, maaari itong magpasok ng mga malisyosong payload sa mga lehitimong proseso ng Windows tulad ng notepad.exe at conhost.exe, na nagpapahirap sa pagtukoy.
Libu-libo ang Nabunyag, Ngunit Piling mga Biktima Lamang ang Tinarget
Naobserbahan ng mga mananaliksik ang ilang libong pagtatangka ng impeksyon na nauugnay sa mga nakompromisong installer sa mahigit 100 bansa, kabilang ang Russia, Brazil, Turkey, Germany, France, Italy, Spain, at China. Sa kabila ng malawak na saklaw ng impeksyon, limitado lamang ang bilang ng mga sistema ang nakatanggap ng advanced backdoor payload, na nagpapahiwatig ng isang lubos na mapiling diskarte sa pag-target.
Ang kasunod na malware ay natukoy sa loob ng mga organisasyong nagpapatakbo sa mga sektor ng tingian, siyentipikong pananaliksik, gobyerno, pagmamanupaktura, at edukasyon sa buong Russia, Belarus, at Thailand. Isang kumpirmadong impeksyon ng QUIC RAT ang partikular na tumatarget sa isang institusyong pang-edukasyon sa Russia.
Ang piling pag-deploy na ito ay mariing nagmumungkahi na ang kampanya ay idinisenyo para sa tumpak na pag-target sa halip na walang pinipiling malawakang impeksyon. Gayunpaman, hindi pa natutukoy ng mga mananaliksik kung ang mga umaatake ay nagnanais na magsagawa ng mga operasyon sa cyberespionage o mga pag-atake na 'pangangaso ng malalaking hayop' na may motibasyon sa pananalapi.
Mga Ebidensyang Tumuturo Patungo sa Isang Sopistikadong Aktor na Nagsasalita ng Banta sa Tsino
Bagama't walang kilalang grupo ng banta ang opisyal na naiugnay sa operasyon, ang forensic analysis ng mga artifact ng malware ay nagmumungkahi ng pagkakasangkot mula sa isang kalaban na nagsasalita ng Chinese. Ang kasalimuotan ng panghihimasok, kasama ang kakayahang ikompromiso ang nilagdaang software na ipinamamahagi sa pamamagitan ng isang opisyal na channel ng vendor, ay nagpapakita ng mga advanced na kakayahan sa opensiba at pangmatagalang pagpaplano ng operasyon.
Ang kompromiso sa DAEMON Tools ay sumali sa lumalaking alon ng mga pag-atake sa supply chain ng software na naobserbahan sa unang kalahati ng 2026. Ang mga katulad na insidente ay dati nang nakaapekto sa eScan noong Enero, Notepad++ noong Pebrero, at CPUID noong Abril.
Bakit Napakapanganib ng mga Pag-atake sa Supply Chain
Ang mga kompromiso sa supply chain ay nananatiling lubhang mapanganib dahil sinasamantala nito ang likas na tiwala na ibinibigay ng mga gumagamit sa mga lehitimong vendor ng software. Ang mga application na direktang na-download mula sa mga opisyal na website at nilagdaan gamit ang mga wastong digital certificate ay bihirang ituring na kahina-hinala ng mga gumagamit o mga produktong pangseguridad.
Sa kasong ito, ang malisyosong aktibidad ay naiulat na nanatiling hindi natukoy sa loob ng halos isang buwan, na nagpapakita ng parehong pagiging sopistikado ng mga umaatake at mga limitasyon ng tradisyonal na perimeter-based na mga depensa sa seguridad. Binibigyang-diin ng mga propesyonal sa seguridad na ang mga organisasyong gumagamit ng mga apektadong bersyon ng DAEMON Tools ay dapat agad na ihiwalay ang mga naapektuhang sistema at magsagawa ng komprehensibong mga operasyon sa pangangaso ng banta upang matukoy ang posibleng lateral na paggalaw o karagdagang malisyosong aktibidad sa loob ng mga corporate network.
Tugon ng Vendor at mga Inirerekomendang Hakbang sa Pagpapagaan
Sinabi ng AVB Disc Soft na ang paglabag ay tila limitado lamang sa Lite edition ng software at kinumpirma na may patuloy na imbestigasyon na isinasagawa upang matukoy ang buong saklaw at ugat ng insidente.
Ang mga user na nag-download o nag-install ng DAEMON Tools Lite bersyon 12.5.1 sa loob ng apektadong timeframe ay lubos na pinapayuhan na alisin agad ang software, magsagawa ng kumpletong antivirus at endpoint security scan gamit ang mga mapagkakatiwalaang security tool, at muling i-install lamang ang pinakabagong malinis na release na nakuha nang direkta mula sa opisyal na website ng DAEMON Tools.
