Peretas melakukan trojan pada penginstal perangkat lunak DAEMON Tools dan sejak 8 April, mengirimkan pintu belakang ke ribuan sistem yang mengunduh produk dari situs web resmi.
Serangan rantai pasokan menyebabkan ribuan infeksi di lebih dari 100 negara. Namun, muatan tahap kedua dikerahkan hanya ke selusin mesin, yang mengindikasikan serangan yang ditargetkan yang ditujukan pada target bernilai tinggi.
Di antara korban yang menerima pembayaran tahap berikutnya adalah organisasi ritel, ilmiah, pemerintah, dan manufaktur di Rusia, Belarus, dan Thailand.
Laporan hari ini dari perusahaan keamanan siber Kaspersky mencatat bahwa serangan sedang berlangsung dan perangkat lunak yang di trojan mencakup versi DAEMON Tools dari 12.5.0.2421 hingga 12.5.0.2434, khususnya biner DTHelper.exe, DiscSoftBusServiceLite.exe, dan DTShellHlp.exe.
DAEMON Tools adalah utilitas Windows yang memungkinkan pemasangan file image disk sebagai drive virtual. Perangkat lunak ini sangat populer pada tahun 2000-an, terutama di kalangan gamer dan power user, namun saat ini penerapannya terbatas pada lingkungan yang memerlukan manajemen drive virtual.
Hingga hari ini, Kaspersky mengatakan serangan tersebut masih berlangsung.
Setelah pengguna yang tidak menaruh curiga mengunduh dan menjalankan penginstal trojan yang ditandatangani secara digital, mereka memicu kode berbahaya yang tertanam dalam biner yang telah disusupi. Payload menetapkan persistensi dan mengaktifkan pintu belakang pada permulaan sistem.
Server dapat merespons dengan perintah yang memerintahkan sistem untuk mengunduh dan mengeksekusi muatan tambahan.
Malware tahap pertama adalah pencuri informasi dasar yang mengumpulkan data sistem, seperti nama host, alamat MAC, proses yang berjalan, perangkat lunak yang diinstal, dan lokal sistem, dan mengirimkannya ke penyerang untuk pembuatan profil korban.
Sumber: Kaspersky
Berdasarkan hasil, beberapa sistem menerima tahap kedua, yaitu pintu belakang ringan yang dapat menjalankan perintah, mengunduh file, dan menjalankan kode langsung di memori.
Sumber: Kaspersky
Setidaknya dalam satu kasus yang menargetkan lembaga pendidikan Rusia, Kaspersky mengamati penyebaran jenis malware yang lebih canggih yang dijuluki QUIC RAT, yang mendukung banyak protokol komunikasi dan dapat memasukkan kode berbahaya ke dalam proses yang sah.
BleepingComputer telah menghubungi DAEMON Tools dengan permintaan komentar mengenai serangan rantai pasokan, namun kami belum mendapat tanggapan melalui publikasi.
Kaspersky menggambarkan serangan rantai pasokan DAEMON Tools sebagai kompromi yang cukup canggih yang menghindari deteksi selama hampir satu bulan.
“Mengingat tingginya kompleksitas serangan, sangat penting bagi organisasi untuk memeriksa secara cermat mesin yang telah menginstal DAEMON Tools, untuk mengetahui aktivitas abnormal terkait keamanan siber yang terjadi pada atau setelah 8 April,” kata para peneliti.
Meskipun Kaspersky tidak mengaitkan serangan tersebut dengan pelaku ancaman tertentu, berdasarkan string yang ditemukan pada payload tahap pertama, para peneliti yakin bahwa penyerang tersebut berbahasa Tiongkok.
Sejak awal tahun, serangan rantai pasokan perangkat lunak telah terdeteksi hampir setiap bulan: eScan di bulan Januari, Buku Catatan++ pada bulan Februari, CPU-Z pada bulan April, dan DAEMON Tools bulan ini.
Serangan serupa yang menargetkan repositori kode, paket, dan ekstensi bahkan lebih umum terjadi pada tahun ini sepele, Periksamarxdan itu Kampanye cacing kaca menjadi salah satu yang paling menonjol.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
