Kaspersky зафиксировал атаку на цепочку поставок, в ходе которой официальный дистрибутив Daemon Tools — широко используемого Windows-приложения для монтирования образов дисков — содержал вредоносный код на протяжении примерно месяца. За это время заражение подтверждено примерно у 100 организаций в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае.
Атака на цепочку поставок (supply-chain attack) — это компрометация не конечного пользователя напрямую, а доверенного канала доставки программного обеспечения: официального сайта, репозитория или сборочного конвейера. Пользователь скачивает приложение из привычного источника и не подозревает о подмене. Именно поэтому такие атаки особенно опасны: антивирусные решения нередко доверяют подписанным или широко известным пакетам, а заражение обнаруживается с большой задержкой.
| Тип нагрузки | Возможности | Масштаб развёртывания | Целевые страны |
|---|---|---|---|
| Сборщик информации | Кража данных с заражённой машины | Большинство из ~100 организаций | Россия, Бразилия, Турция, Испания, Германия, Франция, Италия, Китай |
| Минималистичный бэкдор | Выполнение команд, загрузка файлов, запуск shellcode в памяти | Около дюжины машин | Россия, Беларусь, Таиланд |
| QUIC RAT | Инъекция в notepad.exe и conhost.exe, поддержка HTTP/UDP/TCP/WSS/QUIC/DNS/HTTP/3 | 1 машина (образовательное учреждение) | Россия |
Большинство пострадавших машин получили так называемый «сборщик информации» — относительно простой инструмент для кражи данных. Однако примерно на дюжине систем, принадлежащих государственным, научным, производственным и розничным организациям в России, Беларуси и Таиланде, был развёрнут значительно более сложный бэкдор. Kaspersky описывает его как «минималистичный бэкдор», способный выполнять команды, загружать файлы и запускать shellcode-нагрузки прямо в памяти — это существенно затрудняет обнаружение: вредоносный код не записывается на диск и не оставляет привычных следов.
Основная нагрузка — сборщик информации; на дюжине машин установлен более сложный бэкдор с поддержкой множества протоколов C2.
На одной машине образовательного учреждения в России исследователи обнаружили ещё более продвинутый инструмент — QUIC RAT. Он умеет внедрять нагрузки в легитимные системные процессы notepad.exe и conhost.exe и поддерживает широкий набор протоколов командного управления (C2): HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3. Такое разнообразие протоколов позволяет операторам переключаться между каналами связи, обходя сетевые фильтры и системы обнаружения вторжений.
То, что сложный бэкдор был установлен лишь на небольшом числе машин, указывает на целенаправленный характер операции: злоумышленники сначала получали широкий охват через массовое заражение, а затем вручную отбирали интересующие цели для более глубокого проникновения. Конечная цель — кибершпионаж или вымогательство («охота на крупную дичь») — пока не установлена.
Атака вписывается в общую тенденцию: только за прошлый год было зафиксировано не менее шести заметных инцидентов с компрометацией цепочек поставок. Недавно аналогичным атакам подверглись инструменты Trivy и Checkmarx, менеджер паролей Bitwarden, а также более 150 пакетов в open-source репозиториях. Ограничение исследования Kaspersky состоит в том, что данные получены исключительно из телеметрии собственных продуктов компании — реальный масштаб заражения может быть шире.
Пользователям Daemon Tools рекомендуется провести полную проверку системы актуальным антивирусом и сверить индикаторы компрометации, опубликованные Kaspersky. Технически подготовленным администраторам советуют отслеживать подозрительные инъекции кода в легитимные системные процессы — особенно если источником служат исполняемые файлы из директорий Temp, AppData или Public.
