Daemon Tools 使用者:是時候立即檢查您的電腦是否有潛藏的感染了。
研究人員週二表示,廣泛用於掛載磁碟映像的應用程式 Daemon Tools,已在長達一個月的攻擊中遭到植入後門,惡意更新是從其開發者伺服器推送的。
報告此供應鏈攻擊的安全公司 Kaspersky 表示,攻擊始於 4 月 8 日,並在其發布貼文時仍持續活躍。從開發者官方數位憑證簽署並從其網站下載的安裝程式,會感染 Daemon Tools 的可執行檔,導致惡意軟體在系統啟動時執行。Kaspersky 並未明確說明,但根據技術細節,受感染的版本似乎僅限於 Windows 版本。版本 12.5.0.2421 至 12.5.0.2434 受到影響。Kaspersky 和開發者 AVB 均無法立即聯繫到以獲取更多細節。
受感染的版本包含一個初始酬載,用於收集 MAC 位址、主機名稱、DNS 網域名稱、正在執行的程序、已安裝的軟體以及系統地區設定。惡意軟體將這些資訊發送給攻擊者控制的伺服器。全球一百多個國家的數千台電腦成為目標。在眾多受感染的電腦中,約有 12 台屬於零售、科學、政府和製造業組織,它們接收到了後續酬載,這表明供應鏈攻擊的目標是特定群體。
此事件只是最新的供應鏈攻擊。其他類似攻擊包括 2017 年的 CCleaner Windows 工具中毒事件、2020 年的企業應用程式管理軟體 Solar Winds,以及 2023 年的 3CX VoIP 客戶端事件。這類攻擊難以防禦,因為使用者僅僅是透過官方管道安裝數位簽署的更新,就可能被感染。在所有這三起事件中,都花了數週或數月時間才發現受感染的更新分發管道。
Kaspersky 研究人員寫道:「基於我們分析供應鏈攻擊的長期經驗,我們可以得出結論,攻擊者以高度複雜的方式策劃了 DAEMON Tools 的 Compromise。例如,偵測到此攻擊所需的時間,大約為一個月,這與我們在 2023 年與網路安全社群共同研究的 3CX 供應鏈攻擊相當。鑑於攻擊的高度複雜性,組織必須仔細檢查曾安裝 DAEMON Tools 的電腦,是否存在 4 月 8 日或之後發生的異常網路安全相關活動。」
推送到約十幾家組織的後續酬載之一,是 Kaspersky 所描述的「極簡後門」。它能夠執行命令、下載檔案,並在記憶體中運行 shellcode 酬載,這使得感染更難被偵測。
Kaspersky 表示,他們在俄羅斯一家教育機構的一台電腦上觀察到一個更複雜的後門,名為 QUIC RAT。初步分析發現,它可以將酬載注入 notepad.exe 和 conhost.exe 程序,並支援多種 C2 通訊協定,包括 HTTP、UDP、TCP、WSS、QUIC、DNS 和 HTTP/3。
受感染的一百個組織主要分布在俄羅斯、巴西、土耳其、西班牙、德國、法國、義大利和中國。Kaspersky 對此攻擊的能見度有限,因為它僅基於其自身產品提供的遙測數據。
分析顯示,10% 的受影響系統屬於企業和組織。攻擊者試圖僅用資訊收集器酬載感染大多數受影響的電腦。然而,另一種更複雜的後門酬載僅在俄羅斯、白俄羅斯和泰國的政府、科學、製造和零售組織的十幾台電腦上被觀察到。這種將後門部署到一小部分受感染電腦的方式,清楚地表明攻擊者有意以有針對性的方式進行感染。然而,他們的意圖——無論是網路間諜還是「大型遊戲狩獵」——目前尚不清楚。
近期更多的供應鏈攻擊影響了 Trivy、Checkmarx 和 Bitwarden,以及開源儲存庫中提供的超過 150 個套件。去年,至少發生了六起值得注意的此類攻擊。
任何使用 Daemon Tools 的使用者都應該花時間使用信譽良好的防毒軟體掃描其電腦。Windows 使用者還應檢查 Kaspersky 貼文中列出的 Compromise 指標。對於技術更進階的使用者,Kaspersky 建議監控「注入到合法系統程序中的可疑程式碼,特別是當來源是從公開可訪問目錄(如 Temp、AppData 或 Public)啟動的可執行檔時」。
