DAEMON Tools نفوذ supply-chain را تأیید کرد و یک نسخه پاک جایگزین ارائه داد

Disc Soft، شرکت سازنده DAEMON Tools، تأیید کرده است که مهاجمان build environment این شرکت را دستکاری کرده و installerهای trojanized برای نسخه رایگان DAEMON Tools Lite منتشر کرده‌اند. این شرکت می‌گوید نسخه 12.6 که در ۵ مه منتشر شده پاک است، اما کاربرانی که از ۸ آوریل نسخه 12.5.1 را دانلود یا نصب کرده‌اند باید آن را uninstall کنند، یک antivirus scan کامل انجام دهند و آن را با build جدید جایگزین کنند.

اهمیت این نوع incident در supply-chain این است که یک کانال دانلود رسمی را به مسیر تحویل حمله تبدیل می‌کند. تیم‌های امنیتی زمان زیادی صرف آموزش به کاربران می‌کنند که نرم‌افزار را از mirrorهای مشکوک یا attachmentهای تصادفی نصب نکنند. اما در این مورد، installerهای آلوده ظاهراً با code-signing معتبر امضا شده و از سایت رسمی فروشنده توزیع شده‌اند، موضوعی که یکی از ابتدایی‌ترین فرض‌های اعتماد در توزیع نرم‌افزار دسکتاپ را از بین می‌برد.

بر اساس بیانیه Disc Soft و گزارش BleepingComputer، این breach برخی packageهای نصب در زیرساخت شرکت را تحت تأثیر قرار داده، نه همه محصولات DAEMON Tools را. شرکت می‌گوید نسخه‌های پولی DAEMON Tools Lite به‌همراه DAEMON Tools Ultra و DAEMON Tools Pro تحت تأثیر قرار نگرفته‌اند. با این حال، بازه زمانی در معرض خطر همچنان مهم است. پژوهشگران Kaspersky گفتند installerهای مخرب از ۸ آوریل در دسترس بوده‌اند و برای آلوده کردن سیستم‌ها در بیش از ۱۰۰ کشور استفاده شده‌اند.

به نظر می‌رسد زنجیره malware انتخابی بوده، نه پر سر و صدا. Kaspersky گفت مرحله اول برای profiling، جزئیات host را جمع‌آوری می‌کرد، از جمله processهای در حال اجرا، نرم‌افزارهای نصب‌شده، locale و شناسه‌های شبکه. سپس برخی سیستم‌ها یک backdoor مرحله دوم دریافت کردند که قادر به اجرای command، دانلود فایل و اجرای code در memory بود. در دست‌کم یک مورد، پژوهشگران deployment بدافزار QUIC RAT را مشاهده کردند که به مهاجمان نسبت به یک infostealer ساده، ماندگاری بیشتری می‌دهد.

این موضوع را به چیزی فراتر از یک اطلاعیه پاک‌سازی از سوی یک vendor نرم‌افزار تبدیل می‌کند. وقتی یک installer امضاشده از یک utility شناخته‌شده weaponize می‌شود، مشکل بعدی به endpoint investigation تبدیل خواهد شد. سازمان‌ها اکنون باید هر نصب آسیب‌دیده DAEMON Tools Lite را یک intrusion بالقوه در نظر بگیرند، نه فقط یک دانلود خراب. این یعنی بررسی persistence، connectionهای خروجی، payloadهای مرحله بعد و هرگونه lateral movement که ممکن است پس از نصب اولیه رخ داده باشد.

Disc Soft می‌گوید زیرساخت آسیب‌دیده را ایمن کرده است، اما هنوز توضیح نداده که مهاجمان چگونه وارد شده‌اند یا چه تعداد دانلود تحت تأثیر قرار گرفته است. این موضوع یک شکاف آشنا اما ناخوشایند برای مدافعان باقی می‌گذارد. محصول دوباره در قالب یک نسخه پاک در دسترس است، اما incident responderها همچنان باید فرض کنند که برای compromise واقعی در محیط‌های عملیاتی زمان کافی وجود داشته، به‌ویژه روی endpointهای unmanaged یا با monitoring سبک.

پاسخ عملی روشن است. هر نصب رایگان DAEMON Tools Lite را که از ۸ آوریل به بعد اضافه یا به‌روزرسانی شده شناسایی کنید، build آلوده را حذف کنید، آن سیستم‌ها را اسکن کنید و telemetry مربوط به endpoint را برای فعالیت payloadهای ثانویه بررسی کنید. برای vendorهای نرم‌افزار، درس بزرگ‌تر به همان اندازه مهم است. اگر خود build pipeline در upstream قابل تغییر باشد، code-signing و توزیع رسمی به‌تنهایی کافی نیستند. همان‌طور که BleepingComputer ابتدا گزارش داد، این incident بار دیگر یادآوری می‌کند که امنیت build system اکنون همان امنیت محصول است.