Tedarik zinciri saldırısı
Uzmanlarımız, optik sürücüleri taklit eden bir yazılım olan DAEMON Tools aracılığıyla gerçekleştirilen büyük ölçekli bir tedarik zinciri saldırısı keşfetti. Saldırganlar, yazılım yükleyicilerine kötü amaçlı kod enjekte etmeyi başardı ve trojanize edilmiş tüm yürütülebilir dosyalar, DAEMON Tools’un geliştiricisi olan AVB Disc Soft’un geçerli dijital imzasıyla imzalanmış durumda. Programın kötü amaçlı sürümü 8 Nisan 2026’dan beri dolaşımda. Bu yazının yazıldığı sırada saldırı hala devam ediyor. Kaspersky araştırmacıları bunun hedefli bir saldırı olduğuna inanıyor.
DAEMON Tools’un kötü amaçlı sürümünü yüklemenin riskleri nelerdir?
Truva atı içeren yazılım kurbanın bilgisayarına yüklendikten sonra, sistem her başlatıldığında kötü amaçlı bir dosya çalıştırılır ve bir komuta ve kontrol sunucusuna istek gönderilir. Buna yanıt olarak sunucu, ek kötü amaçlı yükleri indirmek ve çalıştırmak için bir komut gönderebilir.
İlk olarak, saldırganlar MAC adresini, ana bilgisayar adını, DNS etki alanı adını, çalışan işlemlerin ve yüklü yazılımların listesini ve dil ayarlarını toplayan bir bilgi toplayıcı dağıtır. Ardından kötü amaçlı yazılım bu bilgileri komuta ve kontrol sunucusuna gönderir.
Bazı durumlarda, toplanan bilgilere yanıt olarak komuta sunucusu kurbanın makinesine minimalist bir arka kapı gönderir. Bu arka kapı, ek kötü amaçlı yükleri indirebilir, kabuk komutlarını çalıştırabilir ve bellekte kabuk kodu modüllerini çalıştırabilir.
Arka kapı, QUIC RAT olarak adlandırılan daha sofistike bir implantı dağıtmak için kullanılabilir. Komuta ve kontrol sunucusuyla birden fazla iletişim protokolünü destekler ve notepad.exe ve conhost.exe işlemlerine kötü amaçlı yükler enjekte edebilir.
Daha ayrıntılı teknik bilgiler ve saldırı göstergeleri, Securelist blogundaki uzmanların makalesinde bulunabilir.
Hedef kimler?
Nisan başından bu yana, virüslü DAEMON Tools yazılımı aracılığıyla ek kötü amaçlı yükler yüklemeye yönelik birkaç bin girişim tespit edildi. Virüs bulaşmış cihazların çoğu ev kullanıcılarına aitti, ancak yükleme girişimlerinin yaklaşık %10’u kuruluşlarda çalışan sistemlerde tespit edildi. Coğrafi olarak, kurbanlar yaklaşık yüz farklı ülke ve bölgeye yayılmıştı. Kurbanların çoğu Rusya, Brezilya, Türkiye, İspanya, Almanya, Fransa, İtalya ve Çin’de bulunuyordu.
Çoğu durumda, saldırı bir bilgi toplayıcının yüklenmesiyle sınırlıydı. Arka kapı, Rusya, Beyaz Rusya ve Tayland’daki perakende işletmelerin yanı sıra hükümet, bilim ve imalat kuruluşlarındaki yalnızca bir düzine makineyi etkiledi.
Tam olarak ne bulaştı?
Kötü amaçlı kod, 12.5.0.2421 ile 12.5.0.2434 arasındaki DAEMON Tools sürümlerinde tespit edildi. Saldırganlar, DAEMON Tools ana dizinine yüklenen DTHelper.exe, DiscSoftBusServiceLite.exe ve DTShellHlp.exe dosyalarını ele geçirdi.
Nasıl güvende kalabilirsiniz?
Bilgisayarınızda (veya kuruluşunuzun başka bir yerinde) DAEMON Tools yazılımı kullanılıyorsa, uzmanlarımız 8 Nisan’dan itibaren bu yazılımın yüklü olduğu bilgisayarları olağandışı etkinlikler açısından kapsamlı bir şekilde kontrol etmenizi önerir.
Ayrıca, internete erişim için kullanılan tüm ev ve kurumsal bilgisayarlarda güvenilir güvenlik çözümleri kullanmanızı öneririz. Çözümlerimiz, DAEMON Tools aracılığıyla tedarik zinciri saldırısında kullanılan tüm kötü amaçlı yazılımlardan kullanıcıları başarıyla korur.
İpuçları