DAEMON Araçları Tedarik Zinciri Saldırısı
Siber güvenlik araştırmacıları, DAEMON Tools yükleyicilerini içeren karmaşık bir tedarik zinciri saldırısını ortaya çıkardı. Tehdit aktörleri, meşru DAEMON Tools web sitesi üzerinden dağıtılan resmi Windows yükleyicilerini başarıyla ele geçirerek, dijital olarak imzalanmış yazılım paketlerine kötü amaçlı kod yerleştirdi. Yükleyiciler orijinal geliştirici sertifikaları taşıdığı için, kötü amaçlı yazılım güvenilir görünüyordu ve geleneksel güvenlik savunmalarını kolayca atlatıyordu.
Etkilenen yükleyici sürümleri 12.5.0.2421 ile 12.5.0.2434 arasındaydı ve kötü amaçlı faaliyetlerin izi 8 Nisan 2026 tarihine kadar sürüldü. Yazılımın yalnızca Windows sürümü etkilenirken, Mac sürümü etkilenmedi. Olayın ortaya çıkmasının ardından, geliştirici AVB Disc Soft, kötü amaçlı işlevselliği kaldıran ve güvenlik açığını gideren 12.6.0.2445 sürümünü yayınladı.
İçindekiler
Meşru Süreçlerin İçine Gizlenmiş Kötü Amaçlı Bileşenler
Araştırmacılar, saldırganların DAEMON Tools'un üç kritik bileşenini değiştirdiğini keşfetti:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Bu ikili dosyaların herhangi biri, genellikle sistem başlatma sırasında çalıştırıldığında, enfekte olmuş makinede gizli bir kötü amaçlı yazılımı etkinleştiriyordu. Bu yazılım, Windows cmd.exe işlemi aracılığıyla yürütülen kabuk komutlarını almak için 27 Mart 2026'da kayıtlı harici bir alan adı olan env-check.daemontools.cc ile iletişim kuruyordu.
İndirilen komutlar, ek kötü amaçlı yazılım dağıtımını tetikleyerek saldırganların güvenilir yazılım davranışları içinde gizli kalırken ele geçirdikleri sistemler üzerindeki kontrollerini genişletmelerini sağladı.
Çok Aşamalı Kötü Amaçlı Yazılım Yayılımı Alarm Veriyor
Saldırı zinciri, keşif, kalıcılık ve uzaktan kontrol için tasarlanmış çeşitli ikincil zararlı yazılımları içeriyordu. Dağıtılan dosyalar arasında şunlar vardı:
envchk.exe — ayrıntılı sistem bilgilerini toplayabilen, .NET tabanlı bir keşif aracı.
cdg.exe ve cdg.tmp , dosya indirme, kabuk komutları yürütme ve doğrudan bellekte shellcode çalıştırma yeteneğine sahip hafif bir arka kapı yazılımını şifresini çözmek ve başlatmak için kullanılan bileşenlerdir.
Güvenlik analistleri ayrıca QUIC RAT olarak bilinen uzaktan erişim truva atının da yayıldığını tespit etti. Bu kötü amaçlı yazılım, HTTP, TCP, UDP, DNS, WSS, QUIC ve HTTP/3 dahil olmak üzere çok sayıda Komuta ve Kontrol (C2) iletişim yöntemini desteklemektedir. Ek olarak, notepad.exe ve conhost.exe gibi meşru Windows işlemlerine kötü amaçlı yazılım yükleri enjekte edebilmekte ve bu da tespitini önemli ölçüde zorlaştırmaktadır.
Binlerce kişi ifşa edildi, ancak yalnızca seçilmiş kurbanlar hedef alındı.
Araştırmacılar, Rusya, Brezilya, Türkiye, Almanya, Fransa, İtalya, İspanya ve Çin de dahil olmak üzere 100'den fazla ülkede, ele geçirilmiş yükleyicilerle bağlantılı birkaç bin enfeksiyon girişimini gözlemledi. Geniş enfeksiyon yayılımına rağmen, gelişmiş arka kapı yükünü alan sistem sayısı sınırlıydı; bu da oldukça seçici bir hedefleme stratejisine işaret ediyor.
Sonraki aşamada ortaya çıkan kötü amaçlı yazılım, Rusya, Belarus ve Tayland genelinde perakende, bilimsel araştırma, hükümet, üretim ve eğitim sektörlerinde faaliyet gösteren kuruluşlarda tespit edildi. Doğrulanan bir QUIC RAT enfeksiyonu özellikle Rusya'daki bir eğitim kurumunu hedef aldı.
Bu seçici konuşlandırma, kampanyanın rastgele kitlesel enfeksiyon yerine hassas hedefleme için tasarlandığını güçlü bir şekilde düşündürmektedir. Bununla birlikte, araştırmacılar saldırganların siber casusluk operasyonları mı yoksa finansal motivasyonlu 'büyük av' saldırıları mı gerçekleştirmeyi amaçladıklarını henüz belirleyememiştir.
Kanıtlar, Gelişmiş Bir Çince Konuşan Tehdit Aktörünün Var Olduğunu Gösteriyor
Resmi olarak operasyonla bağlantılı olduğu belirlenen bilinen bir tehdit grubu olmamasına rağmen, kötü amaçlı yazılım kalıntılarının adli analizi, Çince konuşan bir düşmanın involvementini düşündürmektedir. Saldırının karmaşıklığı, resmi bir satıcı kanalı aracılığıyla dağıtılan imzalı yazılımların ele geçirilebilmesiyle birleştiğinde, gelişmiş saldırı yeteneklerini ve uzun vadeli operasyonel planlamayı göstermektedir.
DAEMON Tools'a yapılan saldırı, 2026 yılının ilk yarısında gözlemlenen ve giderek artan yazılım tedarik zinciri saldırıları dalgasına katıldı. Benzer olaylar daha önce Ocak ayında eScan'ı, Şubat ayında Notepad++'ı ve Nisan ayında CPUID'yi etkilemişti.
Tedarik Zinciri Saldırıları Neden Bu Kadar Tehlikeli?
Tedarik zinciri ihlalleri, kullanıcıların meşru yazılım satıcılarına duyduğu doğal güveni istismar ettikleri için özellikle tehlikeli olmaya devam etmektedir. Resmi web sitelerinden doğrudan indirilen ve geçerli dijital sertifikalarla imzalanmış uygulamalar, kullanıcılar veya güvenlik ürünleri tarafından nadiren şüpheli olarak değerlendirilir.
Bu olayda, kötü amaçlı faaliyetin neredeyse bir ay boyunca tespit edilemediği bildiriliyor; bu durum hem saldırganların gelişmişliğini hem de geleneksel çevre tabanlı güvenlik savunmalarının sınırlılıklarını ortaya koyuyor. Güvenlik uzmanları, etkilenen DAEMON Tools sürümlerini kullanan kuruluşların, etkilenen sistemleri derhal izole etmeleri ve kurumsal ağlar içindeki olası yatay hareketleri veya ek kötü amaçlı faaliyetleri belirlemek için kapsamlı tehdit avlama operasyonları yürütmeleri gerektiğini vurguluyor.
Tedarikçi Yanıtı ve Önerilen Azaltma Adımları
AVB Disc Soft, güvenlik ihlalinin yazılımın Lite sürümüyle sınırlı olduğunu belirtti ve olayın tam kapsamını ve temel nedenini belirlemek için devam eden bir soruşturmanın yürütüldüğünü doğruladı.
Etkilenen zaman dilimi içinde DAEMON Tools Lite sürüm 12.5.1'i indiren veya kuran kullanıcıların, yazılımı derhal kaldırmaları, güvenilir güvenlik araçları kullanarak kapsamlı bir virüsten koruma ve uç nokta güvenlik taraması yapmaları ve yalnızca resmi DAEMON Tools web sitesinden doğrudan edinilen en son temiz sürümü yeniden yüklemeleri şiddetle tavsiye edilir.
