DAEMON Tools napad na lanac opskrbe

Sažetak

Kaspersky je objavio izvještaj o aktivnom supply chain napadu na DAEMON Tools, popularan softver za montiranje disk slika. Zaraženi instalacijski paketi distribuirani su sa službene stranice proizvođača i digitalno su potpisani certifikatima izdavača AVB Disc Soft, što ih čini teško prepoznatljivima standardnim provjerama povjerenja. Napad je započeo 8. travnja 2026., a u trenutku objave izvještaja još je bio aktivan. Kaspersky navodi tisuće pokušaja infekcije u više od 100 država i teritorija, dok su u zlonamjernim implantima pronađeni artefakti koji upućuju na napadača koji govori kineski.

Detalji

Napadači su kompromitirali tri datoteke unutar legitimnih instalacija DAEMON Tools: DTHelper.exe, DiscSoftBusServiceLite.exe i DTShellHlp.exe. Datoteke se nalaze u instalacijskom direktoriju, primjerice C:\Program Files\DAEMON Tools Lite, te su digitalno potpisane certifikatom izdavača AVB Disc Soft. Backdoor se aktivira pri pokretanju jedne od navedenih binarnih datoteka, uključujući pokretanje sustava.

Zlonamjerni kod šalje HTTP GET zahtjeve prema domeni env-check.daemontools[.]cc, koja imitira legitimnu DAEMON Tools domenu. C2 poslužitelj može vratiti naredbu koja se izvršava kroz cmd.exe i PowerShell, nakon čega se s adrese 38.180.107[.]76 preuzima dodatni izvršni sadržaj na kompromitirani uređaj.

Napad se odvija u više faza. Prva faza uključuje prikupljanje informacija o sustavu, uključujući podatke o mreži, hostname, instalirani softver, aktivne procese i lokalizacijske postavke. Ti se podaci šalju napadačkoj infrastrukturi i koriste za odabir ciljeva za daljnju kompromitaciju. Druga faza uključuje selektivnu isporuku naprednijeg backdoora s mogućnostima preuzimanja datoteka, izvršavanja naredbi i pokretanja koda u memoriji.

Pogođene su DAEMON Tools verzije od 12.5.0.2421 do 12.5.0.2434. Iako je kampanja obuhvatila velik broj korisnika diljem svijeta, dodatni backdoor isporučen je samo na približno dvanaest sustava u državnim, znanstvenim, proizvodnim i maloprodajnim organizacijama u Rusiji, Bjelorusiji i Tajlandu. QUIC RAT komponenta uočena je kod jedne obrazovne institucije u Rusiji. Takav obrazac upućuje na to da napadači koriste masovnu distribuciju kao filtar za pronalaženje strateški vrijednih ciljeva.

Kaspersky je objavio SHA1 hash za envchk.exe: 2d4eb55b01f59c62c6de9aacba9b47267d398fe4. U objavljenim indikatorima kompromitacije navedeni su i artefakti C:\Windows\Temp\cdg.exe, C:\Windows\Temp\imp.tmp, C:\Windows\Temp\piyu.exe, domena env-check.daemontools[.]cc i IP adresa 38.180.107[.]76.

Preporuke

• Hitno provjeriti je li DAEMON Tools instaliran na uređajima u organizaciji, uz posebnu pažnju na verzije od 12.5.0.2421 do 12.5.0.2434.

• Privremeno ukloniti DAEMON Tools s pogođenih uređaja dok proizvođač ne objavi i potvrdi sigurnu verziju.

• Izolirati uređaje na kojima su pronađeni IOC pokazatelji ili komunikacija prema napadačkoj infrastrukturi.

• Provesti forenzičku analizu uređaja na kojima je DAEMON Tools bio instaliran ili ažuriran od 8. travnja 2026. nadalje.

• Pregledati DNS, proxy, firewall i EDR zapise te blokirati komunikaciju prema env-check.daemontools[.]cc i 38.180.107[.]76.

• Pretražiti sustave za artefakte C:\Windows\Temp\envchk.exe, C:\Windows\Temp\cdg.exe, C:\Windows\Temp\imp.tmp i C:\Windows\Temp\piyu.exe.

• Pojačati nadzor sumnjivih cmd.exe i PowerShell procesa koji se pokreću iz DAEMON Tools komponenti ili preuzimaju datoteke s vanjskih servera.

Reference

• https://securelist.com/tr/daemon-tools-backdoor/119654/

• https://www.bleepingcomputer.com/news/security/daemon-tools-trojanized-in-supply-chain-attack-to-deploy-backdoor/

• https://thehackernews.com/2026/05/daemon-tools-supply-chain-attack.html

‍