DAEMON Tools über manipulierte Installer mit Backdoor verseucht

Zusammenfassung

Angreifer haben die Installationsdateien der Windows-Software DAEMON Tools mit Schadcode versehen und darüber seit dem 8. April eine Backdoor auf Tausende Systeme gebracht. Betroffen sind nach Angaben des Sicherheitsunternehmens Kaspersky Nutzer, die das Programm von der offiziellen Website heruntergeladen haben. Der Supply-Chain-Angriff führte zu Tausenden Infektionen in mehr als 100 Ländern, doch eine zweite Schadcode-Stufe wurde nur auf rund einem Dutzend Maschinen ausgespielt – ein Hinweis darauf, dass es die Angreifer gezielt auf besonders lohnende Ziele abgesehen haben. Unter den Opfern, die Folge-Payloads erhielten, sind Organisationen aus Einzelhandel, Wissenschaft, Verwaltung und Industrie in Russland, Belarus und Thailand. DAEMON Tools ist ein Windows-Werkzeug, mit dem sich Abbilddateien als virtuelle Laufwerke einbinden lassen; in den 2000er-Jahren war es vor allem unter Gamern und versierten Anwendern weit verbreitet, heute beschränkt sich der Einsatz auf Umgebungen, in denen virtuelle Laufwerke benötigt werden. Kaspersky betont, dass der Angriff weiterhin andauert und fast einen Monat lang unentdeckt blieb.

Nach Darstellung von Kaspersky betreffen die manipulierten Dateien die DAEMON-Tools-Versionen 12.5.0.2421 bis 12.5.0.2434, konkret die Binärdateien DTHelper.exe, DiscSoftBusServiceLite.exe und DTShellHlp.exe. Die trojanisierten Installer sind digital signiert. Sobald ahnungslose Nutzer sie herunterladen und ausführen, wird der in die kompromittierten Binärdateien eingebettete Schadcode aktiviert, der sich im System einnistet und beim Systemstart eine Backdoor öffnet.

Der kontaktierte Server kann anschließend Befehle senden, die das System anweisen, weitere Schadcode-Pakete herunterzuladen und auszuführen. Bei der ersten Stufe handelt es sich um einen einfachen Informationssammler, der Systemdaten wie Hostname, MAC-Adresse, laufende Prozesse, installierte Software und die Systemsprache erfasst und zur Profilbildung an die Angreifer übermittelt.

Auf Grundlage dieser Auswertung erhalten einzelne Systeme eine zweite Stufe – eine schlanke Backdoor, die Befehle ausführen, Dateien herunterladen und Code direkt im Arbeitsspeicher ausführen kann. In mindestens einem Fall, der sich gegen ein russisches Bildungsinstitut richtete, beobachtete Kaspersky den Einsatz einer fortgeschritteneren Schadsoftware namens QUIC RAT, die mehrere Kommunikationsprotokolle unterstützt und Schadcode in legitime Prozesse einschleusen kann.

Kaspersky beschreibt den Angriff als hinreichend ausgefeilten Kompromiss, der fast einen Monat lang der Entdeckung entging. „Angesichts der hohen Komplexität des Angriffs ist es für Organisationen von größter Bedeutung, Maschinen mit installiertem DAEMON Tools sorgfältig auf ungewöhnliche sicherheitsrelevante Aktivitäten zu untersuchen, die am oder nach dem 8. April aufgetreten sind“, so die Forscher.

Eine Zuordnung zu einem bestimmten Bedrohungsakteur nimmt Kaspersky nicht vor. Anhand von Zeichenketten im Schadcode der ersten Stufe gehen die Forscher jedoch davon aus, dass der Angreifer Chinesisch spricht. BleepingComputer hat DAEMON Tools um eine Stellungnahme gebeten, bis zur Veröffentlichung jedoch keine Antwort erhalten.

Software-Supply-Chain-Angriffe wurden seit Jahresbeginn nahezu monatlich registriert: eScan im Januar, Notepad++ im Februar, CPU-Z im April und nun DAEMON Tools in diesem Monat. Vergleichbare Angriffe auf Code-Repositories, Pakete und Erweiterungen waren in diesem Jahr noch häufiger, darunter die Kampagnen rund um Trivy, Checkmarx und Glassworm.

DAEMON Tools über manipulierte Installer mit Backdoor verseucht

Ähnliche Artikel

Neueste Artikel