Daemon Tools 軟件分發基礎設施遭受供應鏈攻擊而受損
導言
安全研究人員在 Windows 版本的 Daemon Tools 中發現了一個惡意後門,該後門可用於未經授權地外傳系統數據並部署針對性惡意軟件。
正文
此次受損事件由 Kaspersky 發現,始於 4 月 8 日並持續至報告日期。攻擊向量涉及分發使用開發者官方數字憑證簽名的惡意更新,具體影響版本 12.5.0.2421 至 12.5.0.2434。此種手法確保感染在安裝合法軟件更新的標準過程中發生,從而規避傳統的用戶警覺。 初步遙測數據顯示,一個信息收集載荷已廣泛分發至 100 多個國家的數千個系統,其中在 Russia 、Brazil 、Turkey 、Spain 、Germany 、France 、Italy 及 China 具有顯著集中度。此主載荷負責收集系統元數據,包括 MAC 地址、主機名稱及已安裝軟件。然而,該行動的第二階段更為複雜,針對 Russia 、Belarus 及 Thailand 政府、科學、製造和零售部門中約 12 個組織的有限子集。這些目標收到了一個能夠在內存中執行 shellcode 的極簡後門;在涉及一家 Russian 教育機構的個案中,部署了一個被命名為 『QUIC RAT』 的複雜後門,該後門支持多種 C2 通訊協議。 此次事件符合供應鏈受損的廣泛趨勢,與先前涉及 SolarWinds 、3CX 及 CCleaner 的漏洞事件相似。將此次攻擊歸因於一個使用 Chinese 語言的團體是基於惡意軟件分析。雖然開發者 Disc Soft 已承認該報告並啟動調查,但漏洞的完整影響範圍仍在評估中。部署過程的高度複雜性表明其具有戰略目標,但其意圖是網絡間諜活動還是經濟利益仍未確定。
結論
針對 Daemon Tools 的供應鏈攻擊仍然活躍,因此有必要進行全面的系統掃描,並監控合法進程是否存在未經授權的代碼注入。