热门磁盘工具Daemon Tools遭供应链攻击，后门植入长达一个月

卡巴斯基安全公司于本周二发布报告，披露了一起针对热门磁盘镜像挂载工具Daemon Tools的供应链攻击事件。攻击者通过该软件开发商的官方服务器推送恶意更新，成功在软件中植入后门。

攻击始末

据卡巴斯基报告，此次攻击始于4月8日，在报告发布时仍处于活跃状态。攻击者通过开发商官方数字证书签名的安装包，将恶意代码注入Daemon Tools的可执行文件，使恶意程序在系统启动时自动运行。根据技术细节分析，受影响的版本仅限于Windows平台，具体涉及12.5.0.2421至12.5.0.2434版本。目前，卡巴斯基与开发商AVB均未对此事作出进一步公开回应。

攻击范围与危害

受感染版本内置了一个初始载荷程序，可收集目标机器的MAC地址、主机名、DNS域名、运行进程、已安装软件及系统区域设置等信息，并将其发送至攻击者控制的服务器。此次攻击波及全球100多个国家的数千台设备。在众多受感染设备中，约有12台隶属于零售、科研、政府及制造业机构，这些设备还接收到了后续载荷，表明攻击者具有明确的定向攻击意图。

供应链攻击的惯常手法

此次事件是近年来一系列供应链攻击的最新案例。此前已有多起类似事件，包括2017年的CCleaner工具投毒事件、2020年针对企业应用管理软件SolarWinds的攻击，以及2023年的3CX VoIP客户端遭入侵事件。此类攻击的防御难度极高，因为用户仅需通过官方渠道安装经数字签名的正常更新，便可能在毫不知情的情况下遭到感染。上述三起事件中，攻击者均在数周甚至数月后才被发现。

卡巴斯基研究人员指出："基于我们长期分析供应链攻击的经验，此次Daemon Tools被入侵的手法极为复杂精密。本次攻击从发生到被发现约历时一个月，与我们2023年联合安全社区共同研究的3CX供应链攻击案例相当。鉴于攻击的高度复杂性，建议各机构仔细排查4月8日以后安装了Daemon Tools的设备，重点关注是否存在异常的网络安全相关活动。"

后门功能解析

卡巴斯基将推送给部分机构的后续载荷描述为一种"极简型后门"，具备执行命令、下载文件以及在内存中运行shellcode载荷的能力，使感染行为更难被察觉。

此外，卡巴斯基还发现了一个更为复杂的后门程序，命名为QUIC RAT，目前仅在俄罗斯某教育机构的一台设备上被检测到。初步分析显示，该后门可向notepad.exe和conhost.exe进程注入载荷，并支持HTTP、UDP、TCP、WSS、QUIC、DNS及HTTP/3等多种命令与控制（C2）通信协议。

受影响地区与机构分布

在100个受感染机构中，主要集中于俄罗斯、巴西、土耳其、西班牙、德国、法国、意大利和中国。值得注意的是，卡巴斯基对此次攻击的可见范围存在一定局限，目前披露的信息均来源于其自身产品的遥测数据。

卡巴斯基研究人员在报告中写道："分析显示，约10%的受感染系统属于企业和机构用户。攻击者对大多数受感染设备仅部署了信息收集载荷，而更为复杂的后门载荷仅出现在俄罗斯、白俄罗斯和泰国的十余台政府、科研、制造业及零售业机构设备上。这种仅针对少数受感染设备部署后门的方式，清晰表明攻击者具有定向攻击的意图，但其具体目的——无论是网络间谍活动还是'定向猎杀'——目前尚不明确。"

近期供应链攻击频发

近期，Trivy、Checkmarx、Bitwarden以及150余个开源代码仓库软件包也相继遭受供应链攻击。仅去年一年，就有至少六起值得关注的此类攻击事件被记录在案。

安全建议

所有Daemon Tools用户应立即使用可信赖的杀毒软件对整台设备进行全面扫描。Windows用户还应参照卡巴斯基报告中列出的攻陷指标（IoC）逐一排查。对于具备较强技术能力的用户，卡巴斯基建议重点监控"合法系统进程中的可疑代码注入行为，尤其是当可执行文件来源于Temp、AppData或Public等公开可访问目录时"。

Q&A

Q1：Daemon Tools供应链攻击是如何实施的？

A：攻击者从4月8日起，通过Daemon Tools官方开发商服务器推送带有恶意代码的更新包，且这些安装包均经过开发商官方数字证书签名。用户从官网下载并安装更新后，恶意程序便会被植入Daemon Tools可执行文件中，并在系统启动时自动运行。受影响版本为Windows平台的12.5.0.2421至12.5.0.2434版本，整个攻击过程长达约一个月才被发现。

Q2：Daemon Tools被植入后门后会造成哪些危害？

A：受感染设备会被植入初始载荷，自动收集MAC地址、主机名、DNS域名、运行进程、已安装软件及系统区域设置等敏感信息，并上传至攻击者控制的服务器。部分机构设备还会被进一步推送"极简型后门"，攻击者可借此远程执行命令、下载文件并在内存中运行恶意代码。此外，还发现了支持多种通信协议的复杂后门程序QUIC RAT，可注入系统进程，隐蔽性极强。

Q3：发现电脑安装了受影响版本的Daemon Tools该怎么办？

A：建议立即使用可信赖的杀毒软件对整台设备进行全面扫描。Windows用户应参照卡巴斯基官方报告中列出的攻陷指标（IoC）进行排查，重点检查4月8日以后的异常活动。技术能力较强的用户可监控系统进程中的可疑代码注入行为，特别关注来源于Temp、AppData或Public等公开目录的可执行文件所触发的进程注入活动。