HackerangriffeMalwareSchwachstellen

Daemon Tools kompromittiert: Massiver Supply-Chain-Angriff betrifft über 100 Länder

Von CyberDeutsch Redaktion
Daemon Tools kompromittiert: Massiver Supply-Chain-Angriff betrifft über 100 Länder
Zusammenfassung

Die beliebte Disk-Imaging-Software Daemon Tools ist Ziel einer groß angelegten Lieferketten-Attacke geworden, bei der Hacker die offiziellen Installers manipulierten und über die Website des Herstellers verbreiteten. Kaspersky-Forscher berichten, dass die schadhafte Software seit April 2024 Tausende von Computern in über 100 Ländern infiziert hat, darunter Deutschland, Russland, Brasilien und China. Die Attacke folgt einem gezielten Muster: Während die meisten Opfer nur einen einfachen Informationssammler erhielten, wurde fortgeschrittenes Malware-Arsenal wie der Quic-RAT-Backdoor selektiv gegen Organisationen in Regierungen, Wissenschaft, Fertigung und Einzelhandel eingesetzt. Die kompromittierten Versionen 12.5.0.2421 bis 12.5.0.2434 enthalten Backdoors in Kernkomponenten, die automatisch beim Systemstart ausgeführt werden. Für deutsche Nutzer und Unternehmen ist dies besonders relevant, da Daemon Tools eine weit verbreitete Software ist: Jeder, der betroffene Versionen installiert hat, könnte potenziell kompromittiert sein und sollte dringend auf die neueste patched Version aktualisieren. Der Hersteller Disc Soft untersucht derzeit den Fall. Die Malware deutet auf chinesischsprachige Angreifer hin und verdeutlicht das anhaltende Risiko von Lieferketten-Attacken als bevorzugte Methode für Cyber-Kampagnen.

Die Sicherheitsforscher von Kaspersky haben einen gezielten Supply-Chain-Angriff aufgedeckt, der die beliebte Disk-Imaging-Software Daemon Tools zum Angriffsvektor machte. Die Malware-Kampagne begann Anfang April und betrifft Installationen der Versionen 12.5.0.2421 bis 12.5.0.2434. Die Angreifer schleusten Backdoors in zentrale Softwarekomponenten ein, die automatisch beim Systemstart ausgeführt werden.

Die Kompromittierung der Installer erfolgte über die offizielle Website des Herstellers Disc Soft, einem in Lettland ansässigen Entwickler. Das macht den Angriff besonders gefährlich, da Nutzer keinen Grund hatten, der Quelle zu misstrauen. Tausende Systeme wurden bereits infiziert, die Kampagne bleibt aktiv.

Besonders bemerkenswert ist die Selektivität des Angriffs. Während die meisten infizierten Systeme nur einen einfachen Information Collector erhielten — eine Malware zum Sammeln von Systemdaten — wurden fortgeschrittene Payloads gezielt gegen wenige Ziele eingesetzt. Darunter befanden sich Organisationen in Regierung, Wissenschaft, Fertigung und Einzelhandel, hauptsächlich in Russland, Belarus und Thailand.

Eine besonders aggressive Komponente ist das sogenannte Quic RAT, ein Remote-Access-Trojaner, der einen komplexeren Implant liefert. Dieses Tool wurde gegen nur ein bekanntes Ziel — eine unidentifizierte Bildungseinrichtung in Russland — eingesetzt. Dies deutet darauf hin, dass die Angreifer das initiale Datensammelstadium zur Profilerstellung nutzten und dann selektiv entschieden, welche Systeme der intensivierten Überwachung würdig sind.

Kaspersky identifizierte chinesischsprachige Elemente im Malware-Code, was auf chinesischsprachige Angreifer hindeutet. Eine endgültige Attribution zu einer spezifischen Gruppe wurde jedoch nicht vorgenommen.

Für deutsche Nutzer und Administratoren bedeutet dies klare Handlungsschritte: Sofortige Überprüfung, ob Daemon Tools in Versionen 12.5.0.2421 bis 12.5.0.2434 installiert ist, Deinstallation verdächtiger Versionen und Update auf patched Versionen. Disc Soft kündigte bereits an, die Vorkommnisse zu untersuchen und Lösungen bereitzustellen. Dieser Vorfall unterstreicht, wie kritisch sichere Software-Lieferketten sind und warum kontinuierliche Sicherheitsüberprüfungen essentiell sind.

Ähnliche Artikel