SOC Prime Bias: Критичний

07 May 2026 18:54
newspaper icon The Hacker News

Атака на ланцюг постачань DAEMON Tools скомпрометувала офіційні інсталятори за допомогою шкідливого ПЗ

Author Photo
Ruslan Mikhalov Керівник досліджень загроз у SOC Prime linkedin icon Стежити
Атака на ланцюг постачань DAEMON Tools скомпрометувала офіційні інсталятори за допомогою шкідливого ПЗ
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Компрометація ланцюгів поставок вплинула на установники DAEMON Tools Lite версій 12.5.0.2421 до 12.5.0.2434. Змінені установники виконували шкідливий завантажувач, який звертався до віддаленої інфраструктури, завантажував додаткові компоненти та зрештою розгортав як бекдор, так і RAT, що базується на QUIC. Кампанія викликала тисячі спроб зараження у більш ніж 100 країнах, тоді як вузькоспеціалізована операція другого етапу була спрямована на меншу групу обраних жертв.

Розслідування

Дослідники Kaspersky виявили три модифіковані двійкові файли — DTHelper.exe, DiscSoftBusServiceLite.exe, та DTShellHlp.exe — які зверталися до шкідливого домену та виконували команди через cmd.exe. Подальші завантаження включали envchk.exe, cdg.exe, та cdg.tmp, які використовувалися для завантаження легкого бекдору і QUIC RAT. Телеметрія пов’язувала активність з організаціями в галузях роздрібної торгівлі, наукових досліджень, уряду та виробництва.

Пом’якшення

Компанія AVB Disc Soft випустила чисту збірку, версія 12.6.0.2445, та порекомендувала постраждалим користувачам видалити скомпрометовані версії Lite, виконати повне сканування системи та негайно виконати оновлення. Організаціям слід ізолювати кінцеві точки з встановленими DAEMON Tools, перевірити цілісність підписаних установників та контролювати відомі шкідливі двійкові файли і пов’язаний з ними мережевий трафік.

Відповідь

Захисникам слід шукати три скомпрометовані виконувані файли, відстежувати вихідні запити HTTP до env-check.daemontools.cc, та блокувати виконання несподіваних завантажень, таких як envchk.exe and cdg.exe. Правила виявлення на кінцевих точках також повинні бути оновлені для ідентифікації поведінки бекдору, а будь-які заражені системи мають бути негайно ізольовані.

"graph TB %% Класові визначення classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ffccff classDef tool fill:#cccccc %% Визначення вузлів initial_access_supply_chain["<b>Початковий доступ</b> – <b>T1553.002 Обхід контрольних механізмів довіри: Підписання коду</b><br/>Супротивник скомпрометував установник DAEMON Tools Lite та підписався з використанням законного сертифіката."] class initial_access_supply_chain action technique_compromise_binary["<b>Техніка</b> – <b>T1554 Компрометація двійкового файлу хосту</b><br/>Троянські двійкові файли DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe поширені."] class technique_compromise_binary technique persistence_autostart["<b>Персистентність</b> – <b>T1547 Завантаження або автозапуск при вході в систему</b><br/>Шкідливі двійкові файли встановлені для запуску при запуску системи через механізми автозапуску."] class persistence_autostart action persistence_startup_items["<b>Техніка</b> – <b>T1037.005 Сценарії ініціалізації завантаження або входу в систему: Елементи автозапуску</b><br/>Встановлені як елементи автозапуску."] class persistence_startup_items technique persistence_software_ext["<b>Техніка</b> – <b>T1176 Програмні розширення</b><br/>Використані програмні розширення для персистентності."] class persistence_software_ext technique execution_c2_resolution["<b>Виконання</b> – <b>T1568 Динамічне визначення</b><br/>Імплантація контакту envu2011check.daemontools.cc через HTTP GET для отримання команд."] class execution_c2_resolution action execution_cmd["<b>Техніка</b> – <b>T1059.003 Інтерпретатор команд і скриптів: Windows Command Shell</b><br/>Команди виконуються за допомогою cmd.exe."] class execution_cmd technique execution_indirect["<b>Техніка</b> – <b>T1202 Непряме виконання команд</b><br/>Команди виконуються непрямим шляхом через інші процеси."] class execution_indirect technique execution_payload_download["<b>Техніка</b> – <b>T1204.003 Виконання користувачем: Шкідливе зображення</b><br/>Додаткові завантаження envchk.exe, cdg.exe, cdg.tmp."] class execution_payload_download technique defense_process_hollowing["<b>Ухилення від захисту</b> – <b>T1055.012 Ін’єкція в процес: Порожній процес</b><br/>Бекдор впроваджує код у notepad.exe, conhost.exe."] class defense_process_hollowing technique defense_reflective_loading["<b>Техніка</b> – <b>T1620 Відбивне завантаження коду</b><br/>Використовує відбивне завантаження для виконання коду в пам’яті."] class defense_reflective_loading technique defense_junk_code["<b>Техніка</b> – <b>T1027.016 Приховання файлів або інформації: Вставка непотрібного коду</b><br/>Використовує непотрібний код для уникнення аналізу."] class defense_junk_code technique c2_multi_stage["<b>Командування та контроль</b> – <b>T1104 Багатоступеневі канали</b><br/>Використовує багатоступеневі канали для отримання подальших завантажень."] class c2_multi_stage action c2_quic_rat["<b>Шкідливе ПЗ</b> – <b>T1219 Інструменти віддаленого доступу</b><br/>Скидає QUIC RAT, надаючи інтерактивний віддалений доступ."] class c2_quic_rat malware lateral_taint_shared["<b>Бічний рух</b> – <b>T1080 Забруднення спільного контенту</b><br/>Бекдор забруднює спільний контент для бокового поширення."] class lateral_taint_shared action %% Зв’язки initial_access_supply_chain –>|використовує| technique_compromise_binary technique_compromise_binary –>|дозволяє| persistence_autostart persistence_autostart –>|включає| persistence_startup_items persistence_autostart –>|включає| persistence_software_ext persistence_startup_items –>|призводить до| execution_c2_resolution persistence_software_ext –>|призводить до| execution_c2_resolution execution_c2_resolution –>|запускає| execution_cmd execution_cmd –>|використовує| execution_indirect execution_cmd –>|завантажує| execution_payload_download execution_payload_download –>|надає| defense_process_hollowing defense_process_hollowing –>|використовує| defense_reflective_loading defense_process_hollowing –>|використовує| defense_junk_code defense_reflective_loading –>|підтримує| c2_multi_stage defense_junk_code –>|підтримує| c2_multi_stage c2_multi_stage –>|доставляє| c2_quic_rat c2_quic_rat –>|дозволяє| lateral_taint_shared "

Потік атаки

Виконання симуляції

Передумова: Телеметрія та базова перевірка перед-польотом повинні бути пройдені.

Підстава: Цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для виклику правила виявлення. Команди і наратив МАЮТЬ безпосередньо відображати виявлені TTPs і прагнути створити точну телеметрію, очікувану логікою виявлення.

  • Сценарій атаки та команди:
    Атакуючий, який скомпрометував ланцюг поставок DAEMON Tools, впроваджує шкідливу копію calc.exe перейменовану в DTHelper.exe у місце, яке буде запущене під час завантаження системи (наприклад, в HKLMSoftwareMicrosoftWindowsCurrentVersionRun ). Для мети тестування ми симулюємо негайне виконання двійкового файлу, щоб створити точну подію створення процесу, яку правило контролює.

    Кроки:

    1. Скопіюйте безпечний виконуваний файл (calc.exe) до C:TempDTHelper.exe.
    2. Зареєструйте двійковий файл у ключі реєстру Run для емуляції “автозапуск виконання”.
    3. Змусьте систему виконати запис Run (або безпосередньо викличте двійковий файл).

  • Сценарій тесту на регресію:

    # -------------------------------------------------------------
# Сценарій симуляції для запуску DAEMON Tools з троянськими ознаками
# -------------------------------------------------------------
$tempPath = "C:TempDTHelper.exe"
$runKey  = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"
$runName = "DAEMONHelper"

# 1. Розгорнути виглядаючий як шкідливий виконуваний файл (використовуючи calc.exe як замінник)
Copy-Item -Path "$env:SystemRootSystem32calc.exe" -Destination $tempPath -Force

# 2. Зареєструвати його для автоматичного виконання при вході в систему (емуляція персистентності)
New-ItemProperty -Path $runKey -Name $runName -Value $tempPath -PropertyType String -Force

# 3. Запустити виконання негайно для цілей тестування
Start-Process -FilePath $tempPath

# Вивести маркер для перевірки тесту
Write-Host "`n[+] DTHelper.exe виконано і запис Run створено."

  • Команди очищення:

    # -------------------------------------------------------------
# Очищення для симуляції DAEMON Tools
# -------------------------------------------------------------
$tempPath = "C:TempDTHelper.exe"
$runKey  = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"
$runName = "DAEMONHelper"

# Видалити запис реєстру Run
Remove-ItemProperty -Path $runKey -Name $runName -ErrorAction SilentlyContinue

# Зупинити процес, якщо він ще працює
Get-Process -Name "DTHelper" -ErrorAction SilentlyContinue | Stop-Process -Force

# Видалити скопійований виконуваний файл
Remove-Item -Path $tempPath -Force -ErrorAction SilentlyContinue

Write-Host "`n[+] Очищення завершено."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно