Kaspersky сообщают о компрометации DAEMON Tools. DAEMON Tools - это программа, которая позволяет "подключать" файлы образов дисков (например, ISO) как будто это вставленный в компьютер CD- или DVD-диск. Программа популярная, развивается с 2000 года. Версия с базовой функциональностью доступна бесплатно. Я её в своё время активно использовал. Так вот, эксперты Kaspersky обнаружили масштабную атаку на цепочку поставок через DAEMON Tools. Вредоносные версии программы распространяются с официального сайта с 8 апреля 2026 года (затронуты версии 12.5.0.2421-12.5.0.2434). На момент написания атака всё ещё продолжается.

Все троянизированные исполняемые файлы были подписаны действительной цифровой подписью AVB Disc Soft - разработчика DAEMON Tools. Заражение установщиков было обнаружено Kaspersky в начале мая. По телеметрии зафиксированы тысячи попыток заражения в более чем 100 странах (большинство жертв находилось в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае), но полноценное развитие вредоносной активности наблюдалось лишь на десятке систем государственных, научных, производственных и розничных организаций, расположенных в России, Беларуси и Таиланде. Kaspersky сообщили о проблеме разработчику AVB Disc Soft.

Бинарные файлы DAEMON Tools запускаются при старте компьютера. Каждый раз, когда это происходит, активируется бэкдор. Он встроен в код автозапуска, отвечающий за инициализацию среды CRT (C Runtime). Бэкдор работает в отдельном потоке, который используется для отправки GET-запросов на вредоносный сервер, адрес которого создан при помощи тайпсквоттинга легитимного доменного имени daemon-tools[.]cc (вредоносный домен без дефиса). Согласно WHOIS, доменное имя вредоносного сервера было зарегистрировано 27 марта, примерно за неделю до начала атаки на цепочку поставок.

Первая вредоносная нагрузка, которую развертывают злоумышленники, - это сборщик информации (Information collector). Данные, собираемые вредоносной нагрузкой, включают MAC-адрес (первый ненулевой), имя хоста, доменное имя DNS, список запущенных процессов (разделённый точкой с запятой), список установленного программного обеспечения (разделённый точкой с запятой) и язык системы. Развертывание сборщика информации наблюдалось на большом количестве заражённых машин. На небольшой части систем (около десятка) злоумышленники пытались доставить дополнительную вредоносную нагрузку. На основании этого исследователи Kaspersky делают вывод, что сборщик информации используется для профилирования заражённых систем, а полученные данные применяются для последующего целенаправленного развертывания дополнительного вредоносного ПО.

Одной из дополнительных вредоносных нагрузок, обнаруженных исследователями Kaspersky, является минималистичный бэкдор (шеллкод). Его функциональность включает возможность загрузки файлов, выполнения shell-команд и запуска шеллкод-модулей в памяти. Минималистичный бэкдор применялся для развертывания более сложного импланта, который назвали QUIC RAT. Этот бэкдор поддерживает множество протоколов коммуникации с C2, включая HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3. Хотя его анализ всё ещё продолжается, исследователи Kaspersky установили, что QUIC RAT способен внедрять вредоносные нагрузки в процессы notepad.exe и conhost.exe.

Время обнаружения этой атаки (около одного месяца) сопоставимо с расследованием атаки на цепочку поставок 3CX в 2023 году. Учитывая сложность инцидента, организациям рекомендуется тщательно проверить системы, на которых был установлен DAEMON Tools, на предмет аномальной активности начиная с 8 апреля и позже.

С начала 2026 года прошло всего четыре месяца, однако за этот период зафиксирован рост числа атак на цепочки поставок, что ранее наблюдалось значительно реже. В январе расследовался инцидент с eScan, в феврале - с Notepad++, в апреле - с CPU-Z, и в мае - с DAEMON Tools.

На фоне увеличения подобных атак организациям следует проявлять повышенную осторожность при выборе и установке программного обеспечения. Это также подтверждает, что широко используемые и доверенные приложения становятся привлекательной целью для злоумышленников из-за их потенциально большого охвата. Данный фактор необходимо учитывать при построении стратегии кибербезопасности и реализации модели нулевого доверия (Zero Trust).