|供应链攻击!|投毒事件,知名虚拟光驱软件 DAEMON Tools Lite速查

前言

❝

根据5 月 6 日消息，国外安全机构昨晚发布安全通报，警告虚拟光驱软件 DAEMON Tools 官网遭黑客投毒，黑客在官网提供的 DAEMON Tools Lite 软件中植入木马

受影响版本

受影响版本包括 4 月 8 日发布的12.5.0.2421 至最新的 12.5.0.2434 版本。

DAEMON Tools简介

DAEMON Tools是全球广泛使用的磁盘镜像挂载工具，攻击者篡改了官方安装程序，恶意文件均具备开发商 AVB Disc Soft 有效数字签名。恶意程序嵌入开机自启逻辑，设备启动即激活后门并反连恶意 C2。攻击分两步实施：先批量部署信息收集器窃取系统信息，再定向投放极简后门、QUIC RAT远控木马，实现精准控制与窃密。

攻击载荷

从攻击链路来看，此次行动呈现明显的分阶段结构。 在大多数受害设备上，系统首先会接收到一个信息窃取类的初始载荷，用于收集包括 MAC 地址、主机名、已安装软件列表、正在运行的进程、网络配置以及系统语言/区域设置等在内的多种环境数据。 这些数据会被上传至攻击者控制的服务器，推测用于对受感染系统进行画像与价值评估，从而决定后续是否投放更高级别的工具。 研究人员还在该载荷中发现了部分中文字符串，暗示攻击方可能为中文使用者，但目前尚未有正式、明确的溯源结论。

受害

目前已在 100 多个国家观测到相关感染尝试。 受影响系统数居前的地区包括俄罗斯、巴西、土耳其、西班牙、德国、法国、意大利和中国等。 其中约一成受影响设备属于各类组织机构，其余大多仅停留在初始的数据收集阶段，并未进一步接收第二阶段载荷。

排查及应急响应

软件版本：DAEMON Tools 12.5.0.2421 ~ 12.5.0.2434恶意组件：DTHelper.exe、DiscSoftBusServiceLite.exe、DTShellHlp.exe默认路径：C:\Program Files\DAEMON Tools Lite\

排查方法

● 查询是否安装DAEMON Tools的12.5.0.2421-12.5.0.2434版本● 查询网络出口流量中是否含有域名env-check.daemontools.cc的请求● 在临时目录C:\Windows\Temp\是否存有文件envchk.exe，cdg.exe，imp.tmp，piyu.exe

处置

● 卸载、暂停使用DAEMON Tools恶意版本。● 在网络侧阻断env-check.daemontools.cc的反连请求。● 清除envchk.exe、cdg.exe、cdg.tmp等恶意载荷。● 重置系统密码、SSH 密钥、Git 凭证、API 密钥、业务账号等敏感凭证。

安装最新版本

在收到感染信息后，DAEMON Tools 开发商确认了问题并发布了软件的更新版本。在最新的 12.6.0.2445 版本中已经排除了本文中描述的恶意功能。

https://securelist.ru/tr/daemon-tools-backdoor/115484/