Хакеры заразили троянами установщики программного обеспечения DAEMON Tools и с 8 апреля установили бэкдор на тысячах компьютеров, с которых продукт был загружен с официального сайта.
Это привело к тысячам заражений в более чем 100 странах. Однако полезные нагрузки второго этапа были развернуты только на десятке компьютеров, что указывает на целенаправленную атаку, нацеленную на ценные цели.
Среди жертв, получивших полезные нагрузки следующего этапа, — розничные, научные, государственные и производственные организации в России, Беларуси и Таиланде.
В сегодняшнем отчете компании Kaspersky отмечается, что атака продолжается и что троянизированное программное обеспечение включает версии DAEMON Tools от 12.5.0.2421 до 12.5.0.2434, в частности бинарные файлы DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe.
DAEMON Tools — это утилита для Windows, позволяющая монтировать файлы образов дисков в качестве виртуальных дисков. Программа была чрезвычайно популярна в 2000-х годах, особенно среди геймеров и опытных пользователей, но сегодня ее использование ограничивается средами, где требуется управление виртуальными дисками.
По состоянию на сегодняшний день, по словам «Касперского», атака продолжается.
Как только ничего не подозревающие пользователи загружают и запускают троянские установщики с цифровой подписью, они запускают вредоносный код, встроенный в скомпрометированные бинарные файлы. Полезная нагрузка обеспечивает постоянное присутствие в системе и активирует бэкдор при запуске системы.
Сервер может отвечать командами, которые дают системе указание загрузить и запустить дополнительные полезные нагрузки.
Вредоносная программа первого уровня представляет собой базовый инструмент для кражи информации, который собирает системные данные, такие как имя хоста, MAC-адрес, запущенные процессы, установленное программное обеспечение и языковые настройки системы, и отправляет их злоумышленникам для профилирования жертвы.
На основании полученных результатов на некоторые системы запускается второй этап — облегченный бэкдор, способный выполнять команды, загружать файлы и запускать код непосредственно в памяти.
По крайней мере в одном случае, направленном против российского образовательного учреждения, «Лаборатория Касперского» зафиксировала использование более продвинутого штамма вредоносного ПО под названием QUIC RAT, который поддерживает несколько протоколов связи и может внедрять вредоносный код в легитимные процессы.
«Лаборатория Касперского» описывает атаку на цепочку поставок DAEMON Tools как достаточно изощренный взлом, который оставался незамеченным почти месяц.
«Учитывая высокую сложность атаки, организациям крайне важно тщательно проверить компьютеры, на которых был установлен DAEMON Tools, на наличие аномальной активности, связанной с кибербезопасностью, которая имела место 8 апреля или после этой даты»
— отмечают исследователи
Хотя «Касперский» не связывает эту атаку с конкретным злоумышленником, на основании строк, обнаруженных в полезной нагрузке первого этапа, исследователи полагают, что злоумышленник говорит по-китайски.
С начала года атаки на цепочку поставок программного обеспечения обнаруживались почти каждый месяц: eScan в январе, Notepad — в феврале, CPU-Z — в апреле и DAEMON Tools — в этом месяце.
Комментарии (0)