SOC Prime Bias: Crítico

07 Mai 2026 18:54
newspaper icon The Hacker News

Ataque de Cadeia de Suprimentos do DAEMON Tools Compromete Instaladores Oficiais com Malware

Author Photo
Ruslan Mikhalov Chefe de Pesquisa de Ameaças na SOC Prime linkedin icon Seguir
Ataque de Cadeia de Suprimentos do DAEMON Tools Compromete Instaladores Oficiais com Malware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Um comprometimento de cadeia de suprimentos afetou os instaladores do DAEMON Tools Lite das versões 12.5.0.2421 até 12.5.0.2434. Os instaladores adulterados executaram um carregador malicioso que acessou uma infraestrutura remota, buscou cargas adicionais e, por fim, implantou tanto uma backdoor quanto um RAT baseado em QUIC. A campanha desencadeou milhares de tentativas de infecção em mais de 100 países, enquanto uma operação de segunda fase mais restrita foi direcionada a um grupo menor de vítimas selecionadas.

Investigação

Pesquisadores da Kaspersky identificaram três binários modificados — DTHelper.exe, DiscSoftBusServiceLite.exe, e DTShellHlp.exe — que contataram um domínio malicioso e executaram comandos através do cmd.exe. As cargas subsequentes incluíram envchk.exe, cdg.exe, e cdg.tmp, que foram usados para carregar uma backdoor leve e o QUIC RAT. A telemetria ligou a atividade a organizações nos setores de varejo, pesquisa científica, governo e manufatura.

Mitigação

A AVB Disc Soft lançou uma versão limpa, a 12.6.0.2445, e aconselhou os usuários afetados a removerem as versões comprometidas do Lite, realizarem verificações completas no sistema e atualizarem imediatamente. As organizações devem isolar os endpoints com DAEMON Tools instalado, verificar a integridade dos instaladores assinados e monitorar os binários maliciosos conhecidos e o tráfego de rede relacionado.

Resposta

Os defensores devem procurar pelos três executáveis comprometidos, observar as solicitações HTTP de saída para env-check.daemontools.cc, e bloquear a execução de cargas inesperadas, como envchk.exe and cdg.exe. As regras de detecção de endpoint também devem ser atualizadas para identificar o comportamento da backdoor, e quaisquer sistemas infectados devem ser colocados em quarentena sem demora.

"graph TB %% Definições de classes classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ffccff classDef tool fill:#cccccc %% Definições de nós initial_access_supply_chain["<b>Acesso Inicial</b> – <b>T1553.002 Subverter Controles de Confiança: Assinatura de Código</b><br/>Adversário comprometeu instalador do DAEMON Tools Lite e assinou com certificado legítimo."] class initial_access_supply_chain action technique_compromise_binary["<b>Técnica</b> – <b>T1554 Comprometer Software Binário do Host</b><br/>Binaries trojanizados DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe distribuídos."] class technique_compromise_binary technique persistence_autostart["<b>Persistência</b> – <b>T1547 Execução Automática de Inicialização ou Logon</b><br/>Binaries maliciosos configurados para executar na inicialização do sistema via mecanismos de autostart."] class persistence_autostart action persistence_startup_items["<b>Técnica</b> – <b>T1037.005 Scripts de Inicialização ou Logon: Itens de Inicialização</b><br/>Instalados como itens de inicialização."] class persistence_startup_items technique persistence_software_ext["<b>Técnica</b> – <b>T1176 Extensões de Software</b><br/>Usado extensões de software para persistência."] class persistence_software_ext technique execution_c2_resolution["<b>Execução</b> – <b>T1568 Resolução Dinâmica</b><br/>Implante contatos envu2011check.daemontools.cc via HTTP GET para obter comandos."] class execution_c2_resolution action execution_cmd["<b>Técnica</b> – <b>T1059.003 Interpretador de Comando e Script: Shell de Comando do Windows</b><br/>Comandos executados usando cmd.exe."] class execution_cmd technique execution_indirect["<b>Técnica</b> – <b>T1202 Execução Indireta de Comando</b><br/>Comandos executados indiretamente via outros processos."] class execution_indirect technique execution_payload_download["<b>Técnica</b> – <b>T1204.003 Execução pelo Usuário: Imagem Maliciosa</b><br/>Cargas adicionais envchk.exe, cdg.exe, cdg.tmp baixadas."] class execution_payload_download technique defense_process_hollowing["<b>Evasão de Defesa</b> – <b>T1055.012 Injeção de Processo: Process Hollowing</b><br/>Backdoor injeta código em notepad.exe, conhost.exe."] class defense_process_hollowing technique defense_reflective_loading["<b>Técnica</b> – <b>T1620 Carregamento de Código Refletível</b><br/>Usa carregamento refletível para executar código na memória."] class defense_reflective_loading technique defense_junk_code["<b>Técnica</b> – <b>T1027.016 Arquivos ou Informações Ofuscados: Inserção de Código Lixo</b><br/>Emprega código lixo para evadir análise."] class defense_junk_code technique c2_multi_stage["<b>Comando e Controle</b> – <b>T1104 Canais de Múltiplos Estágios</b><br/>Usa canais de múltiplos estágios para recuperar cargas adicionais."] class c2_multi_stage action c2_quic_rat["<b>Malware</b> – <b>T1219 Ferramentas de Acesso Remoto</b><br/>Descarrega QUIC RAT fornecendo acesso remoto interativo."] class c2_quic_rat malware lateral_taint_shared["<b>Movimento Lateral</b> – <b>T1080 Contaminação de Conteúdo Compartilhado</b><br/>Backdoor contamina conteúdo compartilhado para se espalhar lateralmente."] class lateral_taint_shared action %% Conexões initial_access_supply_chain –>|usa| technique_compromise_binary technique_compromise_binary –>|habilita| persistence_autostart persistence_autostart –>|inclui| persistence_startup_items persistence_autostart –>|inclui| persistence_software_ext persistence_startup_items –>|leva a| execution_c2_resolution persistence_software_ext –>|leva a| execution_c2_resolution execution_c2_resolution –>|dispara| execution_cmd execution_cmd –>|usa| execution_indirect execution_cmd –>|baixa| execution_payload_download execution_payload_download –>|fornece| defense_process_hollowing defense_process_hollowing –>|utiliza| defense_reflective_loading defense_process_hollowing –>|utiliza| defense_junk_code defense_reflective_loading –>|suporta| c2_multi_stage defense_junk_code –>|suporta| c2_multi_stage c2_multi_stage –>|entrega| c2_quic_rat c2_quic_rat –>|habilita| lateral_taint_shared "

Fluxo de Ataque

Execução da Simulação

Pré-requisito: O Verificação Prévia de Telemetria e Linha de Base deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa de Ataque e Comandos:
    Um atacante que comprometeu a cadeia de suprimentos do DAEMON Tools coloca uma cópia maliciosa de calc.exe renomeado para DTHelper.exe em um local que será iniciado na inicialização do sistema (por exemplo, a chave HKLMSoftwareMicrosoftWindowsCurrentVersionRun ). Para o propósito do teste, simulamos a execução imediata do binário para gerar o evento de criação de processo exato que a regra observa.

    Passos:

    1. Copiar um executável benigno (calc.exe) para C:TempDTHelper.exe.
    2. Registrar o binário na chave de registro Run para emular a “execução na inicialização”.
    3. Forçar o sistema a executar a entrada de Run (ou invocar o binário diretamente).

  • Script de Teste de Regressão:

    # -------------------------------------------------------------
# Script de simulação para execução de inicialização do DAEMON Tools Trojanizado
# -------------------------------------------------------------
$tempPath = "C:TempDTHelper.exe"
$runKey  = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"
$runName = "DAEMONHelper"

# 1. Implantar o executável com aparência maliciosa (usando calc.exe como placeholder)
Copy-Item -Path "$env:SystemRootSystem32calc.exe" -Destination $tempPath -Force

# 2. Registrá-lo para execução automática ao logon (emula persistência)
New-ItemProperty -Path $runKey -Name $runName -Value $tempPath -PropertyType String -Force

# 3. Acionar a execução imediatamente para fins de teste
Start-Process -FilePath $tempPath

# Output um marcador para verificação de teste
Write-Host "`n[+] DTHelper.exe executado e entrada de Run criada."

  • Comandos de Limpeza:

    # -------------------------------------------------------------
# Limpeza para a simulação do DAEMON Tools
# -------------------------------------------------------------
$tempPath = "C:TempDTHelper.exe"
$runKey  = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"
$runName = "DAEMONHelper"

# Remover a entrada de registro Run
Remove-ItemProperty -Path $runKey -Name $runName -ErrorAction SilentlyContinue

# Parar o processo se ainda estiver em execução
Get-Process -Name "DTHelper" -ErrorAction SilentlyContinue | Stop-Process -Force

# Deletar o executável copiado
Remove-Item -Path $tempPath -Force -ErrorAction SilentlyContinue

Write-Host "`n[+] Limpeza completa."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente