夜雨聆风
全球广泛使用的磁盘镜像挂载工具DAEMON Tools,近期遭遇严重供应链投毒攻击,目前攻击仍在持续,波及范围已覆盖100多个国家和地区!
据国外安全机构最新披露,自4月8日起,DAEMON Tools官方网站被非法篡改,先后上传了12.5.0.2421至12.5.0.2434等多个恶意版本。这些恶意版本已悄悄感染全球数千台设备,而国内风险也已显现——微步情报局监测显示,国内已有数十家用户不幸感染恶意代码,隐患极大!
作为全球主流的磁盘镜像挂载工具,DAEMON Tools被大量个人用户和企业用于挂载ISO、IMG等镜像文件,普及率极高。此次攻击的狡猾之处在于,攻击者篡改了官方安装程序,且所有恶意文件都带有开发商AVB Disc Soft的有效数字签名,极易迷惑用户,让人误以为是官方正规版本。
攻击载荷
信息采集器envchk.exe:广泛投放,采集MAC、主机名、DNS、进程列表、已安装软件等,用于筛选高价值目标。
极简后门cdg.exe:精准投放至已筛选目标,支持文件下载、shell命令执行及shellcode内存执行。
远控木马QUIC RAT:仅在极少量高价值机器上发现,支持HTTP/UDP/TCP/WSS/QUIC/DNS/HTTP/3多协议通信,可向notepad.exe和conhost.exe注入恶意载荷。
受影响范围
软件版本:DAEMON Tools 12.5.0.2421 ~ 12.5.0.2434
恶意组件:DTHelper.exe、DiscSoftBusServiceLite.exe、DTShellHlp.exe
默认路径:C:\Program Files\DAEMON Tools Lite\
排查方法
查询是否安装DAEMON Tools的12.5.0.2421-12.5.0.2434版本
查询网络出口流量中是否含有域名env-check.daemontools.cc的请求
在临时目录C:\Windows\Temp\是否存有文件envchk.exe,cdg.exe,imp.tmp,piyu.exe
处置建议
卸载、暂停使用DAEMON Tools恶意版本。
在网络侧阻断env-check.daemontools.cc的反连请求。
清除envchk.exe、cdg.exe、cdg.tmp等恶意载荷。
重置系统密码、SSH 密钥、Git 凭证、API 密钥、业务账号等敏感凭证。
重要提示
凡是正在使用DAEMON Tools的师生用户,请第一时间排查自身设备,确认是否存在上述恶意C2请求,迅速开展应急处置工作,严防数据泄露、设备被非法控制等风险!
转发提醒身边同事、朋友,警惕此次供应链投毒,守住设备和数据安全防线!
内容转载来源:微步在线研究响应中心
