Attacco alla Catena di Fornitura di DAEMON Tools: Compromessi gli Installatori Ufficiali con Malware
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Un compromesso della catena di fornitura ha colpito gli installer di DAEMON Tools Lite dalle versioni 12.5.0.2421 fino a 12.5.0.2434. Gli installer manomessi eseguivano un loader malevolo che si connetteva a infrastrutture remote, recuperava payload aggiuntivi e alla fine distribuiva sia una backdoor sia un RAT basato su QUIC. La campagna ha innescato migliaia di tentativi di infezione in più di 100 paesi, mentre un’operazione di seconda fase più ristretta era diretta a un gruppo più piccolo di vittime selezionate.
Indagine
I ricercatori di Kaspersky hanno identificato tre binari modificati — DTHelper.exe, DiscSoftBusServiceLite.exe, e DTShellHlp.exe — che contattavano un dominio malevolo e eseguivano comandi attraverso cmd.exe. I payload successivi includevano envchk.exe, cdg.exe, e cdg.tmp, che furono utilizzati per caricare una backdoor leggera e il RAT QUIC. La telemetria ha collegato l’attività a organizzazioni nei settori della vendita al dettaglio, della ricerca scientifica, del governo e della produzione.
Mitigazione
AVB Disc Soft ha rilasciato una build pulita, versione 12.6.0.2445, e ha consigliato agli utenti colpiti di rimuovere le versioni Lite compromesse, di eseguire scansioni complete del sistema e di aggiornare immediatamente. Le organizzazioni dovrebbero isolare gli endpoint con DAEMON Tools installato, verificare l’integrità degli installer firmati e monitorare i binari malevoli noti e il traffico di rete correlato.
Risposta
I difensori dovrebbero cercare i tre eseguibili compromessi, osservare le richieste HTTP in uscita verso env-check.daemontools.cc, e bloccare l’esecuzione di payload inattesi come envchk.exe and cdg.exe. Le regole di rilevamento per gli endpoint dovrebbero anche essere aggiornate per identificare il comportamento della backdoor, e qualsiasi sistema infetto dovrebbe essere messo in quarantena senza ritardi.
"grafico TB %% Definizioni delle classi classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ffccff classDef tool fill:#cccccc %% Definizioni dei nodi initial_access_supply_chain["<b>Accesso Iniziale</b> – <b>T1553.002 Sovvertire i Controlli di Fiducia: Firma del Codice</b><br/>L’avversario ha compromesso l’installer di DAEMON Tools Lite e firmato con un certificato legittimo."] class initial_access_supply_chain action technique_compromise_binary["<b>Tecnica</b> – <b>T1554 Compromissione di Binari Software Host</b><br/>Binari trojanizzati DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe distribuiti."] class technique_compromise_binary technique persistence_autostart["<b>Persistenza</b> – <b>T1547 Esecuzione di Avvio o Accesso Automatico</b><br/>I binari malevoli impostati per l’esecuzione all’avvio del sistema tramite meccanismi di avvio automatico."] class persistence_autostart action persistence_startup_items["<b>Tecnica</b> – <b>T1037.005 Script di Inizializzazione di Avvio o Accesso: Elementi di Avvio</b><br/>Installati come elementi di avvio."] class persistence_startup_items technique persistence_software_ext["<b>Tecnica</b> – <b>T1176 Estensioni Software</b><br/>Utilizzate estensioni software per persistenza."] class persistence_software_ext technique execution_c2_resolution["<b>Esecuzione</b> – <b>T1568 Risoluzione Dinamica</b><br/>L’impianto contatta envu2011check.daemontools.cc via HTTP GET per ottenere comandi."] class execution_c2_resolution action execution_cmd["<b>Tecnica</b> – <b>T1059.003 Interprete dei Comandi e Scripting: Windows Command Shell</b><br/>Comandi eseguiti utilizzando cmd.exe."] class execution_cmd technique execution_indirect["<b>Tecnica</b> – <b>T1202 Esecuzione di Comandi Indiretti</b><br/>Comandi eseguiti indirettamente tramite altri processi."] class execution_indirect technique execution_payload_download["<b>Tecnica</b> – <b>T1204.003 Esecuzione Utente: Immagine Malevola</b><br/>Payload aggiuntivi envchk.exe, cdg.exe, cdg.tmp scaricati."] class execution_payload_download technique defense_process_hollowing["<b>Evasione della Difesa</b> – <b>T1055.012 Iniezione di Processo: Process Hollowing</b><br/>La backdoor inietta codice in notepad.exe, conhost.exe."] class defense_process_hollowing technique defense_reflective_loading["<b>Tecnica</b> – <b>T1620 Caricamento Riflettente del Codice</b><br/>Usa il caricamento riflettente per eseguire codice in memoria."] class defense_reflective_loading technique defense_junk_code["<b>Tecnica</b> – <b>T1027.016 File o Informazioni Offuscati: Inserimento di Junk Code</b><br/>Impiegano junk code per evitare l’analisi."] class defense_junk_code technique c2_multi_stage["<b>Comando e Controllo</b> – <b>T1104 Canali Multiu2011Stage</b><br/>Usa canali multiu2011stage per recuperare ulteriori payload."] class c2_multi_stage action c2_quic_rat["<b>Malware</b> – <b>T1219 Strumenti di Accesso Remoto</b><br/>Rilascia QUIC RAT fornendo accesso remoto interattivo."] class c2_quic_rat malware lateral_taint_shared["<b>Movimento Laterale</b> – <b>T1080 Contaminazione di Contenuti Condivisi</b><br/>La backdoor contamina i contenuti condivisi per diffondersi lateralmente."] class lateral_taint_shared action %% Connessioni initial_access_supply_chain –>|usa| technique_compromise_binary technique_compromise_binary –>|abilita| persistence_autostart persistence_autostart –>|include| persistence_startup_items persistence_autostart –>|include| persistence_software_ext persistence_startup_items –>|porta a| execution_c2_resolution persistence_software_ext –>|porta a| execution_c2_resolution execution_c2_resolution –>|innesca| execution_cmd execution_cmd –>|usa| execution_indirect execution_cmd –>|scarica| execution_payload_download execution_payload_download –>|fornisce| defense_process_hollowing defense_process_hollowing –>|utilizza| defense_reflective_loading defense_process_hollowing –>|utilizza| defense_junk_code defense_reflective_loading –>|supporta| c2_multi_stage defense_junk_code –>|supporta| c2_multi_stage c2_multi_stage –>|consegna| c2_quic_rat c2_quic_rat –>|abilita| lateral_taint_shared "
Flusso di Attacco
Rilevamenti
Download o Upload tramite Powershell (via cmdline)
Visualizza
Esecuzione Sospetta di Rundll32 Dll su un Percorso Sospetto (via creazione_processi)
Visualizza
Richiamo di Metodi .NET Sospetti da Powershell (via powershell)
Visualizza
Comando e Controllo Sospetti tramite Richiesta DNS con Nome di Dominio di Livello Superiore Insolito (TLD) (via dns)
Visualizza
Rilevamento di QUIC RAT e Contatto con il Dominio Malevolo tramite Compromissione di DAEMON Tools [Connessione di Rete Windows]
Visualizza
Rilevamento dell’Esecuzione di Avvio di DAEMON Tools Trojanizzati [Creazione di Processi Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo di Pre‑volo della Telemetria e del Baseline deve essere andato a buon fine.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) ideata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP individuati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrazione dell’Attacco & Comandi:
Un attaccante che ha compromesso la catena di fornitura di DAEMON Tools impianta una copia malevola dicalc.exerinominato inDTHelper.exein una posizione che verrà avviata all’avvio del sistema (es., la chiaveHKLMSoftwareMicrosoftWindowsCurrentVersionRun). Ai fini del test simuliamo l’esecuzione immediata del binario per generare l’esatto evento di creazione del processo che la regola monitora.Passaggi:
- Copia un eseguibile innocuo (
calc.exe) inC:TempDTHelper.exe. - Registra il binario nella chiave di registro Run per emulare l’“esecuzione di avvio”.
- Forza il sistema a eseguire l’entry Run (o richiama direttamente il binario).
- Copia un eseguibile innocuo (
-
Script di Test di Regressione:
# ------------------------------------------------------------- # Script di simulazione per l'esecuzione di avvio di DAEMON Tools trojanizzati # ------------------------------------------------------------- $tempPath = "C:TempDTHelper.exe" $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" $runName = "DAEMONHelper" # 1. Distribuisci l'eseguibile dall'aspetto malevolo (usando calc.exe come segnaposto) Copy-Item -Path "$env:SystemRootSystem32calc.exe" -Destination $tempPath -Force # 2. Registrarlo per l'esecuzione automatica al login (simula la persistenza) New-ItemProperty -Path $runKey -Name $runName -Value $tempPath -PropertyType String -Force # 3. Innesca l'esecuzione immediatamente per scopi di test Start-Process -FilePath $tempPath # Stampa un marcatore per la verifica del test Write-Host "`n[+] DTHelper.exe eseguito e voce Run creata." -
Comandi di Pulizia:
# ------------------------------------------------------------- # Pulizia per la simulazione di DAEMON Tools # ------------------------------------------------------------- $tempPath = "C:TempDTHelper.exe" $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" $runName = "DAEMONHelper" # Rimuovere la voce del registro Run Remove-ItemProperty -Path $runKey -Name $runName -ErrorAction SilentlyContinue # Interrompi il processo se ancora in esecuzione Get-Process -Name "DTHelper" -ErrorAction SilentlyContinue | Stop-Process -Force # Elimina l'eseguibile copiato Remove-Item -Path $tempPath -Force -ErrorAction SilentlyContinue Write-Host "`n[+] Pulizia completata."