SOC Prime Bias: Kritisch

07 Mai 2026 18:54
newspaper icon The Hacker News

DAEMON Tools Supply-Chain-Angriff kompromittiert offizielle Installer mit Malware

Author Photo
Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime linkedin icon Folgen
DAEMON Tools Supply-Chain-Angriff kompromittiert offizielle Installer mit Malware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Ein Lieferkettenkompromiss betraf die DAEMON Tools Lite-Installer von den Versionen 12.5.0.2421 bis 12.5.0.2434. Die manipulierten Installer führten einen bösartigen Loader aus, der eine Verbindung zu einer entfernten Infrastruktur herstellte, zusätzliche Nutzlasten abrief und letztendlich sowohl eine Hintertür als auch ein auf QUIC basierendes RAT bereitstellte. Die Kampagne löste tausende Infektionsversuche in über 100 Ländern aus, während eine engere zweite Stufe der Operation auf eine kleinere Gruppe ausgewählter Opfer abzielte.

Untersuchung

Kaspersky-Forscher identifizierten drei modifizierte Binärdateien — DTHelper.exe, DiscSoftBusServiceLite.exe, und DTShellHlp.exe — die eine Verbindung zu einer bösartigen Domain aufnahmen und Befehle über cmd.exeausführten. Die nachfolgenden Nutzlasten beinhalteten envchk.exe, cdg.exe, und cdg.tmp, die verwendet wurden, um eine leichte Hintertür und das QUIC RAT zu laden. Telemetriedaten verbanden die Aktivität mit Organisationen in den Bereichen Einzelhandel, wissenschaftliche Forschung, Regierung und Fertigungssektoren.

Abmilderung

AVB Disc Soft veröffentlichte eine saubere Version, 12.6.0.2445, und riet betroffenen Nutzern, die kompromittierten Lite-Versionen zu entfernen, vollständige Systemscans durchzuführen und sofort ein Upgrade vorzunehmen. Organisationen sollten Endpunkte mit installiertem DAEMON Tools isolieren, die Integrität der signierten Installer verifizieren und nach den bekannten bösartigen Binärdateien und zugehörigem Netzwerkverkehr überwachen.

Antwort

Verteidiger sollten nach den drei kompromittierten ausführbaren Dateien suchen, ausgehende HTTP-Anfragen an env-check.daemontools.ccbeobachten und die Ausführung unerwarteter Nutzlasten wie envchk.exe and cdg.exeblockieren. Endpunkt-Erkennungsregeln sollten ebenfalls aktualisiert werden, um das Verhalten der Hintertür zu identifizieren, und infizierte Systeme sollten unverzüglich unter Quarantäne gestellt werden.

„graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ffccff classDef tool fill:#cccccc %% Node definitions initial_access_supply_chain["<b>Initial Access</b> – <b>T1553.002 Vertrauenskontrollen unterwandern: Code Signing</b><br/>Der Angreifer kompromittierte den DAEMON Tools Lite-Installer und signierte ihn mit einem legitimen Zertifikat."] class initial_access_supply_chain action technique_compromise_binary["<b>Technik</b> – <b>T1554 Kompromittierung der Hostsoftware-Binärdatei</b><br/>Trojanisierte Binärdateien DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe verteilt."] class technique_compromise_binary technique persistence_autostart["<b>Persistenz</b> – <b>T1547 Autostart-Ausführung beim Booten oder Anmelden</b><br/>Bösartige Binärdateien sind so eingestellt, dass sie beim Systemstart über Autostart-Mechanismen ausgeführt werden."] class persistence_autostart action persistence_startup_items["<b>Technik</b> – <b>T1037.005 Initialisierungsskripte für Boot- oder Anmeldeprozeduren: Startobjekte</b><br/>Als Startobjekte installiert."] class persistence_startup_items technique persistence_software_ext["<b>Technik</b> – <b>T1176 Software-Erweiterungen</b><br/>Verwendete Software-Erweiterungen für Persistenz."] class persistence_software_ext technique execution_c2_resolution["<b>Ausführung</b> – <b>T1568 Dynamische Auflösung</b><br/>Implantat kontaktiert envu2011check.daemontools.cc via HTTP GET, um Befehle abzurufen."] class execution_c2_resolution action execution_cmd["<b>Technik</b> – <b>T1059.003 Befehlszeile und Scripting-Interpreter: Windows-Befehlszeile</b><br/>Befehle, die mit cmd.exe ausgeführt werden."] class execution_cmd technique execution_indirect["<b>Technik</b> – <b>T1202 Indirekte Befehlsausführung</b><br/>Befehle werden indirekt über andere Prozesse ausgeführt."] class execution_indirect technique execution_payload_download["<b>Technik</b> – <b>T1204.003 Benutzerausführung: Bösartiges Bild</b><br/>Zusätzliche Nutzlasten envchk.exe, cdg.exe, cdg.tmp heruntergeladen."] class execution_payload_download technique defense_process_hollowing["<b>Verteidigung – Verschleierung</b> – <b>T1055.012 Prozessinjektion: Prozess Hollowing</b><br/>Backdoor injiziert Code in notepad.exe, conhost.exe."] class defense_process_hollowing technique defense_reflective_loading["<b>Technik</b> – <b>T1620 Reflektives Laden von Code</b><br/>Verwendet reflektives Laden, um Code im Speicher auszuführen."] class defense_reflective_loading technique defense_junk_code["<b>Technik</b> – <b>T1027.016 Verschleierung von Dateien oder Informationen: Junk-Code Einspeisung</b><br/>Verwendet Junk-Code, um die Analyse zu umgehen."] class defense_junk_code technique c2_multi_stage["<b>Befehl und Kontrolle</b> – <b>T1104 Mehrstufige Kanäle</b><br/>Verwendet mehrstufige Kanäle, um weitere Nutzlasten abzurufen."] class c2_multi_stage action c2_quic_rat["<b>Malware</b> – <b>T1219 Remote Access Tools</b><br/>Lädt QUIC RAT, das interaktiven Fernzugriff bietet."] class c2_quic_rat malware lateral_taint_shared["<b>Seitliche Bewegung</b> – <b>T1080 Geteilte Inhalte verfälschen</b><br/>Backdoor verfälscht geteilte Inhalte, um sich seitlich auszubreiten."] class lateral_taint_shared action %% Connections initial_access_supply_chain –>|verwendet| technique_compromise_binary technique_compromise_binary –>|ermöglicht| persistence_autostart persistence_autostart –>|beinhaltet| persistence_startup_items persistence_autostart –>|beinhaltet| persistence_software_ext persistence_startup_items –>|führt zu| execution_c2_resolution persistence_software_ext –>|führt zu| execution_c2_resolution execution_c2_resolution –>|löst aus| execution_cmd execution_cmd –>|verwendet| execution_indirect execution_cmd –>|lädt herunter| execution_payload_download execution_payload_download –>|bereitgestellt durch| defense_process_hollowing defense_process_hollowing –>|nutzt| defense_reflective_loading defense_process_hollowing –>|nutzt| defense_junk_code defense_reflective_loading –>|unterstützt| c2_multi_stage defense_junk_code –>|unterstützt| c2_multi_stage c2_multi_stage –>|liefert| c2_quic_rat c2_quic_rat –>|ermöglicht| lateral_taint_shared „

Attack Flow

Simulationsausführung

Voraussetzung: Der Telemetrie- und Baseline-Vorlauf-Check muss bestanden werden.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:
    Ein Angreifer, der die Lieferkette der DAEMON Tools kompromittiert hat, pflanzt eine bösartige Kopie von calc.exe umbenannt in DTHelper.exe in einem Ort, der beim Systemstart gestartet wird (z.B. der HKLMSoftwareMicrosoftWindowsCurrentVersionRun Schlüssel). Für den Test simulieren wir die sofortige Ausführung der Binärdatei, um genau das Prozess-Erstellungsereignis zu generieren, das die Regel überwacht.

    Schritte:

    1. Kopieren Sie eine harmlose ausführbare Datei (calc.exe) nach C:TempDTHelper.exe.
    2. Registrieren Sie die Binärdatei im Run-Registrierungsschlüssel, um die „Startausführung“ zu emulieren.
    3. Zwingen Sie das System dazu, den Run-Eintrag auszuführen (oder führen Sie die Binärdatei direkt aus).

  • Regressions-Test-Skript:

    # -------------------------------------------------------------
# Simulationsskript für die trojanisierte DAEMON Tools-Startausführung
# -------------------------------------------------------------
$tempPath = "C:TempDTHelper.exe"
$runKey  = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"
$runName = "DAEMONHelper"

# 1. Platzieren der bösartig aussehenden ausführbaren Datei (calc.exe als Platzhalter verwenden)
Copy-Item -Path "$env:SystemRootSystem32calc.exe" -Destination $tempPath -Force

# 2. Registrieren der Datei für die automatische Ausführung beim Anmelden (emuliert Persistenz)
New-ItemProperty -Path $runKey -Name $runName -Value $tempPath -PropertyType String -Force

# 3. Direkte Ausführung zur Testzwecken auslösen
Start-Process -FilePath $tempPath

# Ausgabe eines Markers zur Testverifizierung
Write-Host "`n[+] DTHelper.exe ausgeführt und Run-Eintrag erstellt."

  • Aufräum-Befehle:

    # -------------------------------------------------------------
# Aufräumen der DAEMON Tools-Simulation
# -------------------------------------------------------------
$tempPath = "C:TempDTHelper.exe"
$runKey  = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"
$runName = "DAEMONHelper"

# Entfernen des Run-Registrierungseintrags
Remove-ItemProperty -Path $runKey -Name $runName -ErrorAction SilentlyContinue

# Beenden des Prozesses, falls er noch läuft
Get-Process -Name "DTHelper" -ErrorAction SilentlyContinue | Stop-Process -Force

# Löschen der kopierten ausführbaren Datei
Remove-Item -Path $tempPath -Force -ErrorAction SilentlyContinue

Write-Host "`n[+] Aufräumen abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten