Атака на цепочку поставок DAEMON Tools: злоумышленники заражали установщики популярного софта с апреля 2026 года

"Лаборатория Касперского" сообщила о деталях атаки в своём техническом отчёте. Злоумышленникам удалось скомпрометировать три бинарных файла в составе установленного приложения: DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe. Все заражённые файлы имели легитимную цифровую подпись компании-разработчика AVB Disc Soft. Это делало их неотличимыми от оригинальных для большинства систем защиты. Бинарные файлы запускались при старте компьютера. Каждый раз при этом активировался встроенный бэкдор. Он встраивался прямо в код автозапуска, отвечающий за инициализацию среды исполнения. Вредоносная функция работала в отдельном потоке. Она отправляла GET-запросы на удалённый сервер.

Адрес сервера был создан с помощью метода тайпсквоттинга - использования похожего доменного имени. Злоумышленники зарегистрировали домен env-check.daemontools dot cc, который имитировал официальный сайт daemon-tools dot cc, используемый для загрузки программы. По данным WHOIS, домен появился 27 марта, примерно за неделю до начала атаки. В ответ на запросы сервер мог возвращать команду для выполнения через интерпретатор командной строки. Злоумышленники использовали PowerShell для загрузки и запуска дополнительных вредоносных модулей.

Согласно телеметрии, с начала апреля произошло несколько тысяч попыток заражения через DAEMON Tools. Они затронули частных лиц и организации более чем в ста странах. Однако дальнейшее развёртывание сложной вредоносной нагрузки наблюдалось лишь на десятке машин. Эти компьютеры принадлежали организациям из сферы розничной торговли, науки, государственного управления и производства. Именно такой избирательный подход указывает на то, что атака имеет целенаправленный характер.

Первым этапом стало развёртывание сборщика информации. Этот модуль на платформе .NET собирал расширенные данные о системе: MAC-адрес, имя хоста, доменное имя DNS, список запущенных процессов, перечень установленного программного обеспечения и языковые настройки. Собранная информация отправлялась на командный центр. Примечательно, что код сборщика содержал строки на китайском языке. Хотя эксперты не связывают этот взлом с какой-либо известной группой, факт указывает на возможное происхождение злоумышленников.

Сборщик информации служил инструментом профилирования. Злоумышленники использовали его для отбора наиболее ценных целей. Только после этого на избранные машины доставлялся более сложный бэкдор. Эксперты назвали его минималистичным бэкдором. Он представлял собой загрузчик шелл-кода, который дешифровал тело бэкдора с помощью алгоритма RC4 и запускал его в памяти. Этот модуль отправлял периодические POST-запросы на сервер управления. Его функциональность включала загрузку файлов, выполнение команд и запуск дополнительных модулей в оперативной памяти.

Любопытно, что в некоторых случаях команды для развёртывания бэкдора содержали опечатки - например, "chiper" вместо "cipher" или пропущенная буква в имени файла. Из-за этих ошибок бэкдор в ряде случаев не запускался. Это говорит о том, что развёртывание на финальных целях проводилось вручную, что подтверждает высокую степень избирательности атаки.

Наиболее сложным обнаруженным имплантом стал инструмент, который специалисты назвали QUIC RAT. По имеющимся данным, он применялся против всего одной организации - учебного заведения, расположенного в России. Этот троян удалённого доступа написан на C++, сильно обфусцирован и статически связан с библиотекой WolfSSL. Он поддерживает множество протоколов связи с командным центром: HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3. QUIC RAT способен внедрять вредоносные нагрузки в легитимные процессы, такие как notepad.exe и conhost.exe.

Большинство заражённых систем пришлось на Россию, Бразилию, Турцию, Испанию, Германию, Францию, Италию и Китай. Около десяти процентов затронутых устройств принадлежали бизнесу и государственным структурам. Самые серьёзные цели - организации из России, Беларуси и Таиланда. На десятке таких машин был обнаружен именно сложный бэкдор, а не просто сборщик информации. Цель злоумышленников пока неясна: это может быть как кибершпионаж, так и подготовка к выборочным атакам с высокими требованиями.

Стоит отметить, что 2026 год уже отметился ростом числа атак на цепочки поставок. Ранее в этом году специалисты расследовали инциденты с eScan, Notepad++, CPU-Z. Атака на DAEMON Tools стала четвёртой за четыре месяца. Время обнаружения этой кампании - около месяца - сопоставимо с раскрытием атаки на цепочку поставок 3CX, которая произошла в 2023 году. Это говорит о высоком уровне профессионализма злоумышленников.

Организациям, которые использовали DAEMON Tools, следует проверить компьютеры на предмет аномальной активности, начиная с 8 апреля. Особое внимание нужно уделить системам, где были запущены процессы DTHelper.exe, DiscSoftBusServiceLite.exe или DTShellHlp.exe. Растущее число подобных инцидентов напоминает, что даже широко распространённые и доверенные приложения могут стать каналом для компрометации. Этот фактор необходимо учитывать при построении стратегии защиты. В эпоху множества атак на цепочки поставок подход "нулевого доверия" становится не просто рекомендацией, а насущной необходимостью.

IPv4

• 38.180.107.76

Domains

• env-check.daemontools.cc

SHA1

• 00e2df8f42d14072e4385e500d4669ec783aa517
• 0456e2f5f56ec8ed16078941248e7cbba9f1c8eb
• 0c1d3da9c7a651ba40b40e12d48ebd32b3f31820
• 15ed5c3384e12fe4314ad6edbd1dcccf5ac1ee29
• 28b72576d67ae21d9587d782942628ea46dcc870
• 295ce86226b933e7262c2ce4b36bdd6c389aaaef
• 2d4eb55b01f59c62c6de9aacba9b47267d398fe4
• 427f1728682ebc7ffe3300fef67d0e3cb6b62948
• 46b90bf370e60d61075d3472828fdc0b85ab0492
• 50d47adb6dd45215c7cb4c68bae28b129ca09645
• 524d2d92909eef80c406e87a0fc37d7bb4dadc14
• 6325179f442e5b1a716580cd70dea644ac9ecd18
• 64462f751788f529c1eb09023b26a47792ecdc54
• 8d435918d304fc38d54b104a13f2e33e8e598c82
• 8e7eb0f5ac60dd3b4a9474d2544348c3bda48045
• 9a09ad7b7e9ff7a465aa1150541e231189911afb
• 9ccd769624de98eeeb12714ff1707ec4f5bf196d
• 9dbfc23ebf36b3c0b56d2f93116abb32656c42e4
• aea55e42c4436236278e5692d3dcbcbe5fe6ce0b
• bd8fbb5e6842df8683163adbd6a36136164eac58