Атака на DAEMON Tools через легитимные установщики поставила под угрозу тысячи организаций

Согласно данным аналитиков, атака продолжалась как минимум с 8 апреля 2026 года. Вредоносные версии затронули выпуски с 12.5.0.2421 по 12.5.0.2434. Установщики содержали встроенные бэкдоры, способные загружать и запускать дополнительное вредоносное ПО. Примечательно, что все модифицированные пакеты были подписаны подлинными сертификатами компании AVB Disc Soft, что существенно повышало доверие пользователей.

Специалисты компании Kaspersky документ описывает технические детали инцидента. В ходе исследования были обнаружены три модифицированных бинарных файла в составе установочного пакета: DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe. Эти компоненты запускались автоматически при старте системы и содержали внедрённый бэкдор в инициализационных процедурах среда выполнения. Вредоносный код создавал отдельный поток для связи с управляющим сервером через HTTP-запросы.

Управление осуществлялось через домен Env-check.daemontools[.]cc, который имитировал легитимную инфраструктуру DAEMON Tools. Этот адрес был зарегистрирован примерно за неделю до начала атаки. Сервер мог отправлять произвольные команды оболочки, выполняемые через cmd.exe и PowerShell. В наблюдаемых случаях злоумышленники использовали класс System.Net.WebClient для загрузки дополнительных полезных нагрузок с сервера по адресу 38.180.107[.]76. Полученные файлы сохранялись во временные каталоги, запускались, а затем удалялись для затруднения криминалистического анализа.

Особый интерес представляет двухэтапная схема атаки. На первом этапе на заражённые системы широко распространялась программа-сборщик информации под названием envchk.exe. Этот инструмент собирал MAC-адреса, имена хостов, информацию о DNS-доменах, списки запущенных процессов, установленных программ и данные о региональных настройках системы. Собранная информация передавалась на сервер злоумышленников через HTTP POST-запросы.

Именно здесь проявляется ключевая особенность данной кампании. Несмотря на тысячи попыток заражения, зафиксированных более чем в ста странах, только ограниченное количество систем получило продвинутые полезные нагрузки второго этапа. Исследователи полагают, что программа-сборщик использовалась для профилирования целей и отбора наиболее ценных жертв. Всего около дюжины систем были выбраны для дальнейшей активности.

Выбранные цели получили минималистичный бэкдор, который загружался через цепочку с зашифрованным кодом оболочки. Загрузчик расшифровывал полезную нагрузку с помощью алгоритма RC4 непосредственно в оперативной памяти. Этот бэкдор поддерживал выполнение произвольных команд, загрузку файлов, выполнение кода в памяти и устойчивую связь с управляющим сервером.

В одном подтверждённом случае, касающемся образовательного учреждения в России, злоумышленники развернули более сложное вредоносное ПО под названием QUIC RAT. Это троян удалённого доступа на C++, который использует технику запутывания потока управления и статически связан с библиотекой WolfSSL. Инструмент поддерживает несколько протоколов связи, включая HTTP, HTTP/3, QUIC, TCP, UDP, WSS и DNS.

Последствия данной атаки выходят далеко за рамки отдельного инцидента. Системы заражения были обнаружены более чем в ста странах, причём наибольшая концентрация отмечалась в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае. Примерно десять процентов заражённых систем принадлежали организациям и предприятиям. Продвинутые бэкдоры были развёрнуты преимущественно против государственных, научных, производственных, торговых и образовательных учреждений в России, Беларуси и Таиланде.

Для специалистов по информационной безопасности данный инцидент демонстрирует неэффективность моделей белых списков, основанных исключительно на репутации издателя или наличии цифровой подписи. В условиях современных атак на цепочки поставок организации должны уделять повышенное внимание поведенческому мониторингу, анализу оперативной памяти, обнаружению внедрения в процессы и выявлению аномалий в сетевом трафике. Традиционные механизмы доверия к подписанному программному обеспечению больше не могут служить надёжной границей безопасности.

IPv4

• 38.180.107.76

Domains

• env-check.daemontools.cc

SHA256

• 12edcaafab7703d0819b1395f45c35e3083dd83fb8b128292cb11033453fb6e8
• 395ec7acd475a8acd358adc75c4615cf41737aed8a96c4f2dd792c8a6af4140c
• 70fb6c312529dcea7e7b2cd8fba198b5cae9fa8e3e4fe4da9f4d19997e24a00b
• a916e56121212613d17932e124b68752c9312e73bde8f2351054bd64394257df
• d2a5c9cbb73849cc0667987c33a9bf3822718e1528faef005f1628de3348ffb0
• da1a51b7022d8e726de981fcdb364096e90a8134dd380f9d76c4c20fea701836
• f8599bec9a6e86aab534f6282e8b812d4997ecdf2f6064a4c0326c5e7771eb42