DAEMON Tools взломали через цепочку поставок: бэкдор месяц распространялся через официальный установщик
Kaspersky зафиксировал атаку на пользователей популярной утилиты для работы с образами дисков — под удар попали около 100 организаций, в том числе в Беларуси.

Содержание
Популярная утилита DAEMON Tools Lite стала вектором атаки на цепочку поставок: злоумышленники на протяжении примерно месяца распространяли вредоносный код через официальный установщик программы. По данным Kaspersky, заражению подверглись около 100 организаций в разных странах — в том числе в Беларуси. Разработчик программы, компания Disc Soft, подтвердила инцидент и заявила, что устранила проблему менее чем за 12 часов после обнаружения.
Атака затронула исключительно бесплатную версию — DAEMON Tools Lite. Платные продукты линейки, DAEMON Tools Pro и DAEMON Tools Ultra, по заявлению разработчика, скомпрометированы не были. Тем не менее компания оговорилась, что не располагает доказательствами массового поражения всех пользователей Lite-версии и пока не может подтвердить или опровергнуть воздействие на покупателей платных лицензий.
Что именно попало на машины жертв
Kaspersky выявил несколько уровней вредоносной нагрузки. Большинство заражённых систем получили относительно простой инфостилер — инструмент для сбора данных с компьютера. Однако примерно на дюжине машин исследователи обнаружили значительно более опасный инструмент.
Первый дополнительный payload — «минималистичный бэкдор», способный выполнять команды, загружать файлы и запускать шеллкод прямо в оперативной памяти. Работа в памяти без записи на диск существенно затрудняет обнаружение антивирусными средствами.
Второй — полноценный QUIC RAT, зафиксированный пока на единственной машине в образовательном учреждении на территории России. Этот инструмент умеет внедрять код в системные процессы notepad.exe и conhost.exe и поддерживает широкий набор протоколов для связи с командным сервером: HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3. Такой арсенал протоколов позволяет обходить корпоративные файрволы и системы фильтрации трафика.
Беларусь в списке целей
География атаки охватывает прежде всего Россию, Бразилию, Турцию, Испанию, Германию, Францию, Италию и Китай. При этом Kaspersky отдельно указывает, что сложный бэкдор — более таргетированный инструмент — устанавливался на машины государственных, научных, производственных и ритейл-организаций в России, Беларуси и Таиланде.
Факт присутствия Беларуси в этом списке заслуживает внимания. DAEMON Tools — широко распространённая утилита среди IT-специалистов, системных администраторов и разработчиков, в том числе в компаниях-резидентах ПВТ. Программа используется для монтирования ISO-образов при установке ПО, тестировании дистрибутивов и работе с лицензионными ключами. Именно поэтому она встречается как на рабочих станциях разработчиков, так и в корпоративных IT-инфраструктурах.
Kaspersky подчёркивает: избирательность в развёртывании сложного бэкдора — только на ~12 машинах из ~100 заражённых — свидетельствует о намеренно таргетированном подходе. Цели атакующих пока неизвестны: исследователи допускают как кибершпионаж, так и подготовку к атаке типа «охота на крупную дичь» (ransomware или масштабная кража данных).
Контекст: supply-chain атаки участились
Инцидент с DAEMON Tools вписывается в тревожную тенденцию. В последнее время аналогичным атакам через цепочку поставок подверглись инструменты Trivy, Checkmarx и Bitwarden, а также более 150 пакетов в открытых репозиториях. В прошлом году было зафиксировано не менее шести резонансных атак такого рода.
Смысл supply-chain атак в том, что жертва устанавливает вредоносный код сама — из доверенного источника, через привычный канал обновлений или загрузки. Это принципиально отличает их от фишинга или эксплойтов: пользователь делает всё «правильно», но всё равно оказывается скомпрометирован.
Что делать прямо сейчас
Kaspersky рекомендует всем пользователям DAEMON Tools провести полное сканирование системы актуальным антивирусным ПО. Пользователям Windows следует дополнительно проверить индикаторы компрометации (IoC), опубликованные в официальном отчёте Kaspersky.
Для технически подготовленных специалистов исследователи советуют отслеживать подозрительные инъекции кода в легитимные системные процессы — особенно если источником служат исполняемые файлы, запущенные из публично доступных директорий: Temp, AppData или Public. Эти папки не требуют прав администратора для записи, что делает их излюбленным плацдармом для вредоносного ПО.
Корпоративным IT-командам стоит также пересмотреть политику установки стороннего ПО на рабочих станциях и убедиться, что системы мониторинга конечных точек (EDR) покрывают все машины, где использовался DAEMON Tools Lite.
— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business.








