Хакеры внедрили бэкдор в установщики DAEMON Tools через атаку на цепочку поставок

Киберпреступники подменили установщики программы DAEMON Tools и с 8 апреля распространяли бэкдор среди пользователей, скачивавших приложение с официального сайта.

Атака на цепочку поставок привела к тысячам заражений более чем в 100 странах. Однако полезные нагрузки второго этапа были развернуты только на примерно дюжине устройств, что указывает на целенаправленную атаку против высокоценных целей.

Среди пострадавших, получивших второй этап вредоносного ПО, оказались организации из сфер розничной торговли, науки, государственного сектора и промышленности в России, Беларуси и Таиланде.

Согласно отчету «Лаборатории Касперского», атака продолжается до сих пор. Зараженные версии DAEMON Tools включают релизы с 12.5.0.2421 по 12.5.0.2434, а также скомпрометированные файлы DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe.

DAEMON Tools – это утилита для Windows, позволяющая монтировать образы дисков как виртуальные накопители. Программа была особенно популярна в 2000-х годах среди геймеров и опытных пользователей, однако сегодня используется в основном там, где требуется работа с виртуальными приводами.

Когда пользователи скачивают и запускают подписанные цифровой подписью троянизированные установщики, встроенный в скомпрометированные файлы вредоносный код активируется. После этого вредоносное ПО закрепляется в системе и запускает бэкдор при старте Windows.

Сервер управления может отправлять команды, которые заставляют систему загружать и запускать дополнительные вредоносные компоненты.

Вредоносное ПО первого этапа представляет собой простой инфостилер, собирающий информацию о системе, включая имя компьютера, MAC-адрес, список запущенных процессов, установленное ПО и региональные настройки системы. Эти данные отправляются злоумышленникам для профилирования жертвы.

В зависимости от полученной информации некоторые устройства получают второй этап заражения — облегченный бэкдор, способный выполнять команды, загружать файлы и запускать код напрямую в памяти.

Как минимум в одном случае специалисты «Лаборатории Касперского» зафиксировали развертывание более продвинутого вредоносного ПО под названием QUIC RAT. Этот троян поддерживает несколько протоколов связи и способен внедрять вредоносный код в легитимные процессы. Исследователи описывают инцидент с DAEMON Tools как достаточно сложную компрометацию, которая оставалась незамеченной почти месяц:

Учитывая высокую сложность атаки, организациям крайне важно тщательно проверить устройства, на которых был установлен DAEMON Tools, на предмет подозрительной активности в сфере кибербезопасности, происходившей 8 апреля или позже.

С начала года атаки на цепочки поставок ПО фиксируются почти ежемесячно: в январе была скомпрометирована eScan, в феврале — Notepad++, в апреле — CPU-Z, а в мае целью стал DAEMON Tools.

Похожие атаки, нацеленные на репозитории кода, пакеты и расширения, в этом году стали еще более распространенными. Среди наиболее заметных кампаний исследователи выделяют Trivy, Checkmarx и Glassworm.