Daemon Tools — популярное приложение для монтирования образов дисков — оказалось заражено бэкдором в результате масштабной атаки цепочки поставок. Злоумышленники в течение месяца распространяли вредоносные обновления с официальных серверов разработчика, сообщили исследователи в среду.

Компания Касперски (Kaspersky), обнаружившая атаку, уточнила, что инцидент начался 8 апреля и продолжался до публикации отчёта. Установочные файлы, подписанные официальным цифровым сертификатом разработчика и доступные на сайте, заражают исполняемые файлы Daemon Tools. Это позволяет вредоносному коду запускаться при загрузке системы. Хотя Касперски напрямую не указала это, технические детали позволяют предположить, что уязвимы только версии для Windows. Речь идёт о версиях с 12.5.0.2421 по 12.5.0.2434. Связаться с Касперски и разработчиком AVB для уточнения деталей не удалось.

Сложно обнаружить

Заражённые версии содержат начальный полезный нагрузку, которая собирает MAC-адреса, имена хостов, DNS-домены, запущенные процессы, установленное программное обеспечение и региональные настройки системы. Эти данные отправляются на сервер злоумышленников. Атаке подверглись тысячи устройств более чем в 100 странах. На 12 машинах — в розничной торговле, науке, госсекторе и производстве — была установлена дополнительная вредоносная нагрузка. Это говорит о том, что атака была направлена на определённые группы.

Очередной удар по цепочке поставок

Инцидент с Daemon Tools — уже не первая подобная атака. Ранее аналогичным образом были скомпрометированы утилита CCleaner для Windows в 2017 году, корпоративное ПО SolarWinds в 2020-м и клиент VoIP-связи 3CX в 2023-м. Такие атаки особенно опасны: пользователи заражаются, просто устанавливая обновления из доверенных источников, с цифровой подписью. Во всех трёх предыдущих случаях уходило недели и даже месяцы, прежде чем удавалось обнаружить подмену.

«На основе многолетнего опыта анализа атак на цепочку поставок мы можем заключить, что компрометация Daemon Tools была организована крайне изощрённо», — пишут исследователи Касперски. — «Время обнаружения — около месяца — сопоставимо с инцидентом с 3CX в 2023 году, который мы изучали вместе с кибербезопасным сообществом. Учитывая высокую сложность атаки, организациям крайне важно тщательно проверить устройства, на которых был установлен Daemon Tools, на признаки подозрительной активности с 8 апреля и позже».

Daemon Tools, a widely used app for mounting disk images, has been backdoored in a monthlong compromise that has pushed malicious updates from the servers of its developer, researchers said Tuesday.

Kaspersky, the security firmreportingthe supply-chain attack, said it began on April 8 and remained active as of the time its post went live. Installers that are signed by the developer’s official digital certificate and downloaded from its website infect Daemon Tools executables, causing the malware to run at boot time. Kaspersky didn’t explicitly say so, but based on technical details, the infected versions appear to be only those that run on Windows. Versions 12.5.0.2421 through 12.5.0.2434 are affected. Neither Kaspersky nor developer AVB could be contacted immediately for additional details.

Hard to defend against

Infected versions contain an initial payload that collects MAC addresses, hostnames, DNS domain names, running processes, installed software, and system locales. The malware sends them to an attacker-controlled server. Thousands of machines in more than 100 countries were targeted. Out of the many machines infected, about 12 of them, belonging to retail, scientific, government, and manufacturing organizations, have received a follow-on payload—an indication that the supply-chain attack targets select groups.

The incident is only the latest supply-chain attack. Other such attacks include the poisoning of theCCleanerWindows utility in 2017, theSolar Windsapp management software for enterprises in 2020, and3CXVoIP client in 2023. Such attacks are hard to defend against because users are infected when they do nothing more than install digitally signed updates available through official channels. In all three cases it took weeks or months before the compromised update distribution channels were discovered.

“Based on our long-term experience of analyzing supply chain attacks, we can conclude that attackers orchestrated the DAEMON Tools compromise in a highly sophisticated manner,” Kaspersky researchers wrote. “For example, the time it took to detect this attack, which turned out to be about one month, is comparable to the 3CX supply chain attack which we researched together with the cybersecurity community in 2023. Given the high complexity of the attack, it is paramount for organizations to carefully examine machines that had DAEMON Tools installed, for abnormal cybersecurity-related activities that occurred on or after April 8.”