Supply-Chain-AttackenMalwareSchwachstellen

DAEMON Tools kompromittiert: Tausende Systeme durch Supply-Chain-Angriff mit Backdoor infiziert

Von CyberDeutsch Redaktion
DAEMON Tools kompromittiert: Tausende Systeme durch Supply-Chain-Angriff mit Backdoor infiziert
Zusammenfassung

Die beliebte Virtualisierungssoftware DAEMON Tools ist Ziel einer ausgefeilten Supply-Chain-Attacke geworden, bei der Cyberkriminelle die offiziellen Installer zwischen dem 8. April und Anfang Mai mit einer Backdoor kompromittierten. Die trojanisierten Versionen 12.5.0.2421 bis 12.5.0.2434 wurden tausenden Nutzern weltweit direkt von der legitimen Website bereitgestellt und führten zu Infektionen in über 100 Ländern. Während die erste Angriffswelle breite Ziele umfasste, konzentrierte sich die Attacke in einer zweiten Phase gezielt auf hochwertige Ziele wie Behörden, wissenschaftliche Einrichtungen, Einzelhandelsketten und Industrieunternehmen in Russland, Belarus und Thailand. Die Sicherheitsforscher von Kaspersky entdeckten ein mehrstufiges Angriffssystem: Zunächst sammelt ein Infostealer Systeminformationen, woraufhin gezielt ausgewählte Ziele zusätzliche Malware wie den sogenannten QUIC RAT erhalten. Der Angriff zeigt, dass deutsche Unternehmen und Behörden ebenso gefährdet sind, sofern sie DAEMON Tools einsetzen. Kaspersky rät zur dringenden Überprüfung aller betroffenen Systeme auf verdächtige Aktivitäten seit dem 8. April. Der Vorfall unterstreicht die wachsende Bedrohung durch Supply-Chain-Attacken, die legitime Software-Kanäle missbrauchen, um großflächig Zugriff auf sensible Infrastrukturen zu erlangen.

DAEMON Tools ist ein Festplattenbild-Management-Tool für Windows, das vor allem in den 2000er Jahren bei Spielern und Power-Usern verbreitet war. Heute wird es primär in Umgebungen genutzt, in denen virtuelle Laufwerke erforderlich sind. Die aktuelle Kampagne betrifft die Versionen 12.5.0.2421 bis 12.5.0.2434 und manipuliert gezielt die Binärdateien DTHelper.exe, DiscSoftBusServiceLite.exe und DTShellHlp.exe.

Die Attacke funktioniert nach klassischem Schema: Nutzer laden die digital signierten, aber trojanisierten Installer herunter und führen diese aus. Der eingebettete Malware-Code etabliert sich dann dauerhaft im System und aktiviert einen Backdoor beim nächsten Neustart. Der erste Angriffsvektor ist ein Informationsdieb, der Systemdaten wie Hostname, MAC-Adresse, laufende Prozesse, installierte Software und Systemsprache sammelt und an die Angreifer übermittelt. Diese verwenden diese Daten zur Opfer-Profilierung.

Auf Grundlage dieser Analyse werden ausgewählte hochwertige Ziele mit einer zweiten Malware-Stufe angegriffen — einem leichtgewichtigen Backdoor, der Befehle ausführen, Dateien herunterladen und Code direkt im Speicher ausführen kann. In mindestens einem Fall, der eine russische Bildungseinrichtung betraf, beobachtete Kaspersky die Bereitstellung von QUIC RAT, einer fortgeschrittenen Malware-Variante, die mehrere Kommunikationsprotokolle unterstützt und Malware-Code in legitime Prozesse injizieren kann.

Kaspersky bewertet diese Supply-Chain-Kompromittierung als hochkomplex und bemerkt, dass sie fast einen Monat lang unbemerkt blieb. Basierend auf Textfragmenten im Payload deuten die Forscher darauf hin, dass der Angreifer chinesischsprachig ist. Die Experten empfehlen Organisationen dringend, alle Systeme mit DAEMON-Tools-Installation seit dem 8. April auf verdächtige Aktivitäten zu überprüfen.

Dieser Vorfall reiht sich in eine besorgniserregende Serie ein: 2024 wurden bereits eScan (Januar), Notepad++ (Februar) und CPU-Z (April) kompromittiert. Kaspersky vermerkt, dass die Attacke noch andauert und weiterhin aktiv Malware verbreitet.

Ähnliche Artikel