DAEMON Tools 在供应链攻击中被植入木马以部署后门
- 浏览次数 18
- 喜欢 0
黑客对 DAEMON Tools 软件的安装程序进行了木马化处理,自 4 月 8 日起,从官方网站下载该产品的数千台系统被植入后门。
这场供应链攻击导致 100 多个国家的数千台设备感染。不过,第二阶段有效载荷仅部署到了十几台机器上,这表明这是一次针对高价值目标的定向攻击。
接收下一阶段有效载荷的受害者包括俄罗斯、白俄罗斯和泰国的零售、科研、政府及制造企业。
网络安全公司卡巴斯基(Kaspersky)今日发布的一份报告指出,攻击仍在持续,被植入木马的软件包括 DAEMON Tools 12.5.0.2421 至 12.5.0.2434 版本,特别是 DTHelper.exe、DiscSoftBusServiceLite.exe 和 DTShellHlp.exe 二进制文件。
DAEMON Tools 是一款 Windows 实用工具,可将磁盘镜像文件挂载为虚拟驱动器。该软件在 21 世纪初极为流行,尤其受游戏玩家和高级用户欢迎,但如今其应用局限于需要虚拟驱动器管理的环境。
卡巴斯基表示,截至目前攻击仍在持续。
毫无防备的用户一旦下载并执行经过数字签名的木马化安装程序,就会触发被入侵二进制文件中嵌入的恶意代码。该有效载荷会在系统启动时建立持久化并激活后门。
服务器可以通过命令响应,指示系统下载并执行更多有效载荷。
第一阶段恶意软件是一个基本的信息窃取程序,它收集系统数据,如主机名、MAC 地址、正在运行的进程、已安装软件以及系统区域设置等,并将这些数据发送给攻击者,用于对受害者进行分析。
基于分析结果,部分系统会收到第二阶段有效载荷,这是一个轻量级后门,能够执行命令、下载文件以及直接在内存中运行代码。
卡巴斯基观察到,至少有一起针对俄罗斯一所教育机构的攻击中,部署了一种更为高级的恶意软件,名为 QUIC RAT,它支持多种通信协议,并能将恶意代码注入合法进程。
BleepingComputer 已联系 DAEMON Tools,就此次供应链攻击征求评论,但截至发布时尚未收到回复。
卡巴斯基称,DAEMON Tools 供应链攻击手法相当复杂,近一个月都未被察觉。
研究人员表示:“鉴于此次攻击的高度复杂性,各机构务必仔细检查安装了 DAEMON Tools 的机器,查看 4 月 8 日及之后是否发生异常的网络安全相关活动。”
尽管卡巴斯基未将此次攻击归咎于特定的威胁行为者,但基于在第一阶段有效载荷中发现的字符串,研究人员认为攻击者可能说中文。
自今年年初以来,几乎每个月都检测到软件供应链攻击事件:1 月的 eScan、2 月的 Notepad++、4 月的 CPU - Z,以及本月的 DAEMON Tools。
今年,针对代码存储库、软件包和扩展程序的类似攻击更为普遍,其中 Trivy、Checkmarx 以及 “玻璃蠕虫”(Glassworm)攻击活动最为突出。
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文