DAEMON Tools тројанизиран во supply-chain напад за инсталирање на backdoor

Хакери ги тројанизирале инсталерите за софтверот DAEMON Tools и од 8 април наваму испорачале backdoor на илјадници системи кои го презеле производот од официјалната веб-страница.

Овој supply-chain напад довел до илјадници инфекции во повеќе од 100 држави. Сепак, второстепени (second-stage) payload-и биле испратени само на околу десетина машини, што укажува на таргетиран напад насочен кон цели со висока вредност.

Меѓу жртвите кои примиле наредни payload-и има организации од секторите малопродажба, наука, влада и производство во Русија, Белорусија и Тајланд. Извештај од компанијата за сајбер-безбедност Kaspersky наведува дека нападот е сè уште во тек и дека тројанизираниот софтвер ги вклучува верзиите на DAEMON Tools од 12.5.0.2421 до 12.5.0.2434, конкретно бинарните фајлови DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe.

DAEMON Tools е алатка за Windows која овозможува монтирање на диск-имиџ фајлови како виртуелни дискови. Софтверот беше исклучително популарен во 2000-тите, особено меѓу гејмери и напредни корисници, но денес неговата употреба е ограничена на средини каде што е потребно управување со виртуелни дискови.

Според Kaspersky, нападот и понатаму е активен.

Кога корисниците, без да се посомневаат, ќе ги преземат и извршат дигитално потпишаните тројанизирани инсталери, тие го активираат злонамерниот код вграден во компромитираните бинарни фајлови. Овој payload воспоставува постојаност (persistence) и активира backdoor при стартување на системот.

Серверот потоа може да испраќа команди кои му наложуваат на системот да преземе и изврши дополнителни payload-и.

Првостепениот малвер е едноставен „information stealer“ кој собира системски податоци, како што се име на хост (hostname), MAC адреса, активни процеси, инсталиран софтвер и системска локализација, и ги испраќа до напаѓачите за профилирање на жртвите.

Врз основа на резултатите, некои системи добиваат втора фаза, која претставува лесен backdoor што може да извршува команди, да презема фајлови и да извршува код директно во меморија.

Во најмалку еден случај насочен кон образовна институција во Русија, Kaspersky забележал инсталирање на понапреден тип малвер наречен QUIC RAT, кој поддржува повеќе комуникациски протоколи и може да вметнува злонамерен код во легитимни процеси.

BleepingComputer стапил во контакт со DAEMON Tools со барање за коментар во врска со supply-chain нападот, но до моментот на објавување не добил одговор.

Kaspersky го опишува нападот врз DAEMON Tools како доволно софистициран компромис што успеал да избегне детекција речиси еден месец.

„Со оглед на високата комплексност на нападот, од клучно значење е организациите внимателно да ги проверат машините на кои бил инсталиран DAEMON Tools, за абнормални активности поврзани со сајбер-безбедност што се случиле на или по 8 април“, велат истражувачите.

Иако Kaspersky не го припишува нападот на конкретен актер на закани, врз основа на стринговите пронајдени во првостепениот payload, истражувачите сметаат дека напаѓачот зборува кинески.

Од почетокот на годината, supply-chain напади врз софтвер се детектирани речиси секој месец: eScan во јануари, Notepad++ во февруари, CPU-Z во април и DAEMON Tools овој месец.

Слични напади насочени кон кодни репозиториуми, пакети и екстензии се уште почести оваа година, при што кампањите Trivy, Checkmarx и Glassworm се меѓу најистакнатите.

Извори:

• Bleeping Computer – DAEMON Tools trojanized in supply-chain attack to deploy backdoor Bleeping Computer