Атака на ланцюг поставок DAEMON Tools
Дослідники з кібербезпеки виявили складну атаку на ланцюг поставок, за участю інсталяторів DAEMON Tools. Зловмисники успішно скомпрометували офіційні інсталятори Windows, що розповсюджуються через легітимний веб-сайт DAEMON Tools, вбудовуючи шкідливий код у цифрово підписані пакети програмного забезпечення. Оскільки інсталятори мали справжні сертифікати розробника, шкідливе програмне забезпечення виглядало надійним і легко обходило звичайні засоби захисту.
Скомпрометовані версії інсталятора варіювалися від 12.5.0.2421 до 12.5.0.2434, а шкідлива активність була простежена до 8 квітня 2026 року. Постраждала лише версія програмного забезпечення для Windows, тоді як версія для Mac залишилася недоторканою. Після розкриття інформації про інцидент розробник AVB Disc Soft випустив версію 12.6.0.2445, яка видаляє шкідливу функціональність та усуває порушення.
Зміст
Шкідливі компоненти, приховані всередині легітимних процесів
Слідчі виявили, що зловмисники модифікували три критичні компоненти DAEMON Tools:
- DTHelper.exe
- Файл DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Щоразу, коли будь-який з цих бінарних файлів запускався, зазвичай під час завантаження системи, вони активували прихований імплантат на зараженій машині. Імплантат зв'язувався із зовнішнім доменом env-check.daemontools.cc, зареєстрованим 27 березня 2026 року, для отримання команд оболонки, що виконуються через процес cmd.exe Windows.
Завантажені команди ініціювали додаткове розгортання шкідливого програмного забезпечення, що дозволило зловмисникам розширити контроль над скомпрометованими системами, залишаючись прихованими в рамках поведінки надійного програмного забезпечення.
Багатоетапне розгортання шкідливого програмного забезпечення викликає тривогу
Ланцюг атаки включав кілька вторинних корисних навантажень, призначених для розвідки, забезпечення стійкості та дистанційного керування. Серед розгорнутих файлів були:
envchk.exe — розвідувальний інструмент на основі .NET, здатний збирати детальну системну інформацію.
cdg.exe та cdg.tmp — компоненти, що використовуються для розшифровки та запуску легкого бекдора, здатного завантажувати файли, виконувати команди оболонки та запускати шелл-код безпосередньо в пам'яті.
Аналітики безпеки також виявили доставку трояна віддаленого доступу, відомого як QUIC RAT. Шкідливе програмне забезпечення підтримує численні методи зв'язку типу «командування та керування» (C2), включаючи HTTP, TCP, UDP, DNS, WSS, QUIC та HTTP/3. Крім того, воно може впроваджувати шкідливі корисні навантаження в легітимні процеси Windows, такі як notepad.exe та conhost.exe, що значно ускладнює їх виявлення.
Тисячі викрито, але атаки націлені лише на вибраних жертв
Дослідники спостерігали кілька тисяч спроб зараження, пов'язаних зі скомпрометованими інсталяторами, у понад 100 країнах, включаючи Росію, Бразилію, Туреччину, Німеччину, Францію, Італію, Іспанію та Китай. Незважаючи на широкий охоплення зараження, лише обмежена кількість систем отримала вдосконалене корисне навантаження бекдору, що свідчить про дуже вибіркову стратегію таргетування.
Подальше шкідливе програмне забезпечення було виявлено в організаціях, що працюють у сфері роздрібної торгівлі, наукових досліджень, урядового сектору, виробництва та освіти в Росії, Білорусі та Таїланді. Одне підтверджене зараження QUIC RAT було спрямоване на навчальний заклад у Росії.
Таке вибіркове розгортання переконливо свідчить про те, що кампанія була розроблена для точного таргетування, а не для невибіркового масового зараження. Однак дослідники ще не визначили, чи мали намір зловмисники проводити операції з кібершпигунства, чи фінансово мотивовані атаки з метою «полювання на велику дичину».
Докази вказують на досвідченого китайськомовного актора загроз
Хоча жодна відома група зловмисників офіційно не пов'язана з цією операцією, судово-медичний аналіз артефактів шкідливого програмного забезпечення свідчить про причетність китайськомовного зловмисника. Складність вторгнення в поєднанні зі здатністю скомпрометувати підписане програмне забезпечення, що розповсюджується через офіційний канал постачальника, демонструє передові наступальні можливості та довгострокове оперативне планування.
Компрометація DAEMON Tools приєднується до зростаючої хвилі атак на ланцюги поставок програмного забезпечення, що спостерігалися протягом першої половини 2026 року. Подібні інциденти раніше торкнулися eScan у січні, Notepad++ у лютому та CPUID у квітні.
Чому атаки на ланцюги поставок такі небезпечні
Компрометація ланцюгів поставок залишається особливо небезпечною, оскільки вона використовує невід'ємну довіру користувачів до легітимних постачальників програмного забезпечення. Програми, завантажені безпосередньо з офіційних веб-сайтів та підписані дійсними цифровими сертифікатами, рідко сприймаються користувачами чи продуктами безпеки як підозрілі.
У цьому випадку, як повідомляється, шкідлива активність залишалася непоміченою майже місяць, що свідчить як про витонченість зловмисників, так і про обмеження традиційних засобів захисту на основі периметра. Фахівці з безпеки наголошують, що організації, які використовують уражені версії DAEMON Tools, повинні негайно ізолювати уражені системи та проводити комплексні операції з виявлення загроз, щоб виявити можливе горизонтальне переміщення або додаткову шкідливу активність у корпоративних мережах.
Реакція постачальника та рекомендовані заходи щодо пом’якшення наслідків
AVB Disc Soft заявила, що порушення, схоже, обмежується версією програмного забезпечення Lite, і підтвердила, що триває розслідування для визначення повного масштабу та першопричини інциденту.
Користувачам, які завантажили або встановили DAEMON Tools Lite версії 12.5.1 протягом зазначеного періоду, наполегливо рекомендується негайно видалити програмне забезпечення, виконати повне антивірусне сканування та перевірку безпеки кінцевих точок за допомогою перевірених інструментів безпеки та перевстановити лише останню чисту версію, отриману безпосередньо з офіційного веб-сайту DAEMON Tools.
