Архив метки: Shellcode

Накину ещё немного по кейсу компрометации DAEMON Tools в ответ на комментарий уважаемого Игнатия Цукергохера

Добавить комментарий

Накину ещё немного по кейсу компрометации DAEMON Tools в ответ на комментарий уважаемого Игнатия Цукергохера

Накину ещё немного по кейсу компрометации DAEMON Tools в ответ на комментарий уважаемого Игнатия Цукергохера.

🔹 "Кто-то ещё пользуется DAEMON Tools?! О_о"

Тут дело-то, конечно, не в DAEMON Tools как таковом, а в культуре потребления программных продуктов в принципе. Существует масса сверхпопулярного софта, разрабатываемого непонятно кем. Вот тот же DAEMON Tools - это поделие то ли латышской, то ли гонконгской компании. Что это вообще за компания, что там за люди работают, насколько они ответственно относятся к безопасности своих продуктов? 🤷‍♂️ Непонятно. А Notepad++? Может, там вообще никакой компании нет, просто какой-то один разработчик с ментальными проблемами, передавший доступ к репозиторию какому-то левому анонимусу (как в инциденте с XZ Utils). И это только софт для конечных пользователей. Если посмотреть на то, кто контролирует зависимости для софта, то там вообще мрак. Неудивительно, что злоумышленники прочухали, что атаковать кустарей и получать доступ к их клиентам - это просто и суперэффективно. Поэтому таких supply chain-атак будет только больше. И это не изменится, пока не изменится неадекватно доверчивое отношение к софту. Пока пользователи не перестанут вестись на модные продукты (а программисты - на модные библиотеки и фреймворки) как Эллочка Людоедка на блестящее ситечко, полностью игнорируя соображения безопасности. Пока же, к сожалению, наблюдаю обратные тенденции.

🔹 "По исследованию ясно, что атака скорее была точечная, сиречь целенаправленная, так как заражено сравнительно немного машин, и часть пользователей задело по касательной."

Тут тоже не могу согласиться. Устройства всех пользователей, которые установили себе DAEMON Tools с малварью, были скомпрометированы. То, что не на всех устройствах, по мнению исследователей Kaspersky, злоумышленники устанавливали минималистичный бэкдор и QUIC RAT, - дело десятое. Никто не может гарантировать пользователям, что злоумышленники на системе не закрепились. Единственная рекомендация здесь может быть - вайпать машину и перенакатывать операционку, особенно в случае корпоративной среды.

Kaspersky сообщают о компрометации DAEMON Tools

Добавить комментарий

Kaspersky сообщают о компрометации DAEMON Tools

Kaspersky сообщают о компрометации DAEMON Tools. DAEMON Tools - это программа, которая позволяет "подключать" файлы образов дисков (например, ISO) как будто это вставленный в компьютер CD- или DVD-диск. Программа популярная, развивается с 2000 года. Версия с базовой функциональностью доступна бесплатно. Я её в своё время активно использовал. Так вот, эксперты Kaspersky обнаружили масштабную атаку на цепочку поставок через DAEMON Tools. Вредоносные версии программы распространяются с официального сайта с 8 апреля 2026 года (затронуты версии 12.5.0.2421-12.5.0.2434). На момент написания атака всё ещё продолжается.

Все троянизированные исполняемые файлы были подписаны действительной цифровой подписью AVB Disc Soft - разработчика DAEMON Tools. Заражение установщиков было обнаружено Kaspersky в начале мая. По телеметрии зафиксированы тысячи попыток заражения в более чем 100 странах (большинство жертв находилось в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае), но полноценное развитие вредоносной активности наблюдалось лишь на десятке систем государственных, научных, производственных и розничных организаций, расположенных в России, Беларуси и Таиланде. Kaspersky сообщили о проблеме разработчику AVB Disc Soft.

Бинарные файлы DAEMON Tools запускаются при старте компьютера. Каждый раз, когда это происходит, активируется бэкдор. Он встроен в код автозапуска, отвечающий за инициализацию среды CRT (C Runtime). Бэкдор работает в отдельном потоке, который используется для отправки GET-запросов на вредоносный сервер, адрес которого создан при помощи тайпсквоттинга легитимного доменного имени daemon-tools[.]cc (вредоносный домен без дефиса). Согласно WHOIS, доменное имя вредоносного сервера было зарегистрировано 27 марта, примерно за неделю до начала атаки на цепочку поставок.

Первая вредоносная нагрузка, которую развертывают злоумышленники, - это сборщик информации (Information collector). Данные, собираемые вредоносной нагрузкой, включают MAC-адрес (первый ненулевой), имя хоста, доменное имя DNS, список запущенных процессов (разделённый точкой с запятой), список установленного программного обеспечения (разделённый точкой с запятой) и язык системы. Развертывание сборщика информации наблюдалось на большом количестве заражённых машин. На небольшой части систем (около десятка) злоумышленники пытались доставить дополнительную вредоносную нагрузку. На основании этого исследователи Kaspersky делают вывод, что сборщик информации используется для профилирования заражённых систем, а полученные данные применяются для последующего целенаправленного развертывания дополнительного вредоносного ПО.

Одной из дополнительных вредоносных нагрузок, обнаруженных исследователями Kaspersky, является минималистичный бэкдор (шеллкод). Его функциональность включает возможность загрузки файлов, выполнения shell-команд и запуска шеллкод-модулей в памяти. Минималистичный бэкдор применялся для развертывания более сложного импланта, который назвали QUIC RAT. Этот бэкдор поддерживает множество протоколов коммуникации с C2, включая HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3. Хотя его анализ всё ещё продолжается, исследователи Kaspersky установили, что QUIC RAT способен внедрять вредоносные нагрузки в процессы notepad.exe и conhost.exe.

Время обнаружения этой атаки (около одного месяца) сопоставимо с расследованием атаки на цепочку поставок 3CX в 2023 году. Учитывая сложность инцидента, организациям рекомендуется тщательно проверить системы, на которых был установлен DAEMON Tools, на предмет аномальной активности начиная с 8 апреля и позже.

С начала 2026 года прошло всего четыре месяца, однако за этот период зафиксирован рост числа атак на цепочки поставок, что ранее наблюдалось значительно реже. В январе расследовался инцидент с eScan, в феврале - с Notepad++, в апреле - с CPU-Z, и в мае - с DAEMON Tools.

На фоне увеличения подобных атак организациям следует проявлять повышенную осторожность при выборе и установке программного обеспечения. Это также подтверждает, что широко используемые и доверенные приложения становятся привлекательной целью для злоумышленников из-за их потенциально большого охвата. Данный фактор необходимо учитывать при построении стратегии кибербезопасности и реализации модели нулевого доверия (Zero Trust).