DAEMON Tools bestätigt supply-chain-Verstoß und liefert sauberen Ersatz aus

Disc Soft, das Unternehmen hinter DAEMON Tools, hat bestätigt, dass Angreifer seine build environment manipuliert und trojanisierte Installer für die kostenlose Version von DAEMON Tools Lite verteilt haben. Das Unternehmen sagt, dass Version 12.6, veröffentlicht am 5. Mai, sauber ist, während Nutzer, die seit dem 8. April Version 12.5.1 heruntergeladen oder installiert haben, diese deinstallieren, einen vollständigen antivirus scan ausführen und sie durch die neue build ersetzen sollten.

Das ist die Art von supply-chain-Vorfall, die wichtig ist, weil sie einen offiziellen Download-Kanal in den Zustellmechanismus des Angriffs verwandelt. Sicherheitsteams verbringen viel Zeit damit, Nutzern beizubringen, keine Software von dubiosen Mirrors oder zufälligen Anhängen zu installieren. In diesem Fall wurden die kompromittierten Installer Berichten zufolge per code-signing signiert und über die legitime Website des Herstellers verteilt, was eine der grundlegendsten Vertrauensannahmen in der Verteilung von Desktop-Software zum Einsturz bringt.

Laut der Erklärung von Disc Soft und der Berichterstattung von BleepingComputer betraf der Verstoß bestimmte Installationspakete innerhalb der Unternehmensinfrastruktur und nicht jedes DAEMON-Tools-Produkt. Das Unternehmen sagt, dass kostenpflichtige Versionen von DAEMON Tools Lite sowie DAEMON Tools Ultra und DAEMON Tools Pro nicht betroffen waren. Das betroffene Zeitfenster ist dennoch relevant. Forscher von Kaspersky sagten, dass die bösartigen Installer seit dem 8. April verfügbar waren und genutzt wurden, um Systeme in mehr als 100 Ländern zu infizieren.

Die malware-Kette scheint eher selektiv als laut gewesen zu sein. Kaspersky sagte, dass die erste Stufe Host-Details zum profiling sammelte, darunter laufende Prozesse, installierte Software, Locale und Netzwerkkennungen. Einige Systeme erhielten anschließend eine Backdoor der zweiten Stufe, die Befehle ausführen, Dateien herunterladen und Code im memory ausführen konnte. In mindestens einem Fall beobachteten Forscher die Bereitstellung von QUIC RAT, was Angreifern einen dauerhafteren foothold verschafft als ein einfacher einmaliger Infostealer.

Damit ist dies mehr als nur eine Bereinigungshinweis eines Software-vendors. Sobald ein signierter Installer eines bekannten Utilities weaponize wird, wird das nachgelagerte Problem zur endpoint investigation. Unternehmen müssen nun jede betroffene DAEMON-Tools-Lite-Installation als potenzielle intrusion behandeln, nicht nur als fehlerhaften Download. Das bedeutet, auf persistence, ausgehende Verbindungen, nachgelagerte Payloads und jede lateral movement zu prüfen, die nach der ersten Installation stattgefunden haben könnte.

Disc Soft sagt, dass die betroffene Infrastruktur gesichert wurde, aber das Unternehmen hat noch nicht erklärt, wie die Angreifer eingedrungen sind oder wie viele Downloads betroffen waren. Das lässt Verteidiger mit einer unangenehmen, aber vertrauten Lücke zurück. Das Produkt ist wieder in einer sauberen Version verfügbar, aber incident responder müssen weiterhin davon ausgehen, dass genug Zeit für eine echte compromise im Feld vorhanden war, insbesondere auf unmanaged oder nur leicht überwachten endpoints.

Die praktische Reaktion ist klar. Identifizieren Sie alle kostenlosen DAEMON-Tools-Lite-Installationen, die seit dem 8. April hinzugefügt oder aktualisiert wurden, entfernen Sie die kompromittierte build, scannen Sie diese Systeme und prüfen Sie die endpoint telemetry auf Aktivitäten sekundärer Payloads. Für Software-vendors ist die größere Lehre genauso wichtig. Code-signing und offizielle Distribution reichen nicht aus, wenn die build pipeline selbst upstream verändert werden kann. Wie BleepingComputer zuerst berichtete, erinnert dieser Vorfall erneut daran, dass build-system-Sicherheit heute Produktsicherheit ist.