MalwareHackerangriffeSchwachstellen

Daemon Tools kompromittiert: Gezielte Backdoor-Attacke auf Behörden und Forschungseinrichtungen

Von CyberDeutsch Redaktion
Daemon Tools kompromittiert: Gezielte Backdoor-Attacke auf Behörden und Forschungseinrichtungen
Zusammenfassung

Die beliebte Disk-Imaging-Software Daemon Tools ist Ziel einer raffinierten Supply-Chain-Attacke geworden, bei der Cyberkriminelle mit chinesischsprachigem Hintergrund Malware in mehrere Softwareversionen eingeschleust haben. Wie Kaspersky berichtet, wurden die betroffenen Versionen 12.5.0.2421 bis 12.5.0.2434 seit dem 8. April über die legitime Website des Herstellers AVB Disc Soft zum Download angeboten und sind bis heute manipuliert. Die Angreifer kompromittierten dabei drei zentrale Systemdateien und nutzen eine Typosquatting-Domain, um tausende weltweit verteilte Rechner mit einem Backdoor zu infizieren – darunter auch Systeme in Deutschland, Frankreich, Spanien und Italien. Besonders bemerkenswert ist die gezielte zweite Phase des Angriffs: Während Zehntausende Maschinen grundsätzlich infiziert wurden, zielten die Täter letztendlich nur auf eine kleine Gruppe von etwa zwölf Systemen bei Regierungseinrichtungen, wissenschaftlichen Institutionen und Unternehmen ab. Für deutsche Nutzer und Organisationen bedeutet dies ein erhebliches Risiko, da die weit verbreitete Software ein ideales Sprungbrett für gezielte Cyber-Spionage oder andere Angriffsszenarien bietet. Betroffene sollten sofortig prüfen, ob sie die manipulierten Versionen installiert haben, und auf aktuelle Patches warten.

Die Attacke zeigt ein mehrstufiges Angriffsmuster, das typisch für zielgerichtete Cyberespionage ist. Die Angreifer kompromittierten drei zentrale Binärdateien innerhalb von Daemon Tools: DTHelper.exe, DiscSoftBusServiceLite.exe und DTShellHlp.exe. Alle drei Dateien wurden mit legitimen Zertifikaten von AVB Disc Soft signiert, was die Erkennung durch Standard-Sicherheitslösungen erschwerte.

Beim Start dieser Programme aktiviert sich automatisch eine Backdoor, die im Startcode der CRT-Umgebung (C-Runtime) versteckt ist. Diese Backdoor verbindet sich mit einer Typosquatting-Domain, die am 27. März registriert wurde. Der kontrollierte Server sendet daraufhin Shell-Befehle, die ein Informationssammlungs-Tool herunterladen und ausführen.

Das Ausmaß der initialen Verbreitung war erheblich: Tausende Maschinen in über 100 Ländern wurden infiziert. Doch hier offenbart sich die eigentliche Strategie der Angreifer: Sie nutzten die Backdoor nicht für Massenbeschuss, sondern zur Aufklärung. Mit den gesammelten Systeminformationen identifizierten sie gezielt Ziele von Interesse.

In einem zweiten Schritt wurden nur etwa zwölf ausgewählte Systeme in Behörden-, Wissenschafts-, Fertigungs- und Einzelhandelorganisationen in Belarus, Russland und Thailand mit einer weiter entwickelten Backdoor infiziert. Diese Selektivität deutet auf einen klassischen Cyber-Spionage-Angriff hin. Bei einer Bildungseinrichtung in Russland kam sogar die QUIC RAT zum Einsatz — eine komplexe Remote-Access-Trojan.

Für deutsche Organisationen ergeben sich mehrere Implikationen: Erstens sollten sofort alle Daemon Tools-Installationen auf die betroffenen Versionen überprüft und aktualisiert werden. Zweitens empfiehlt sich ein Audit von Systemen, die diese Software nutzen, auf verdächtige Netzwerkaktivitäten. Drittens ist eine Meldung an das BSI geboten, falls ein Verdacht auf Kompromittierung besteht. AVB Disc Soft wurde bereits benachrichtigt und wird voraussichtlich Sicherheits-Patches bereitstellen.

Dieser Vorfall unterstreicht ein kritisches Problem moderner IT-Sicherheit: Legitime Software-Kanäle können zur Waffe werden. Unternehmen und Behörden sollten Maßnahmen wie Code-Signing-Überprüfungen, Verhaltensanalyse und regelmäßige Integrität-Checks implementieren. Auch die DSGVO-Meldepflicht wird relevant: Betroffene deutsche Organisationen müssen Datenschutzverletzungen innerhalb von 72 Stunden an die zuständigen Behörden melden.

Ähnliche Artikel