كشفت شركة الأمن السيبراني الروسية كاسبرسكي عن تعرض برنامج DAEMON Tools لهجوم سلسلة توريد جديد، حيث نجح المهاجمون في تضمين حمولة خبيثة داخل مثبتات البرنامج عبر موقعه الرسمي. هذا الاكتشاف يسلط الضوء على المخاطر المتزايدة للهجمات التي تستهدف البرمجيات الموثوقة.
تعد هذه الهجمات التي تستهدف سلسلة التوريد خطيرة بشكل خاص نظراً لأنها تستغل الثقة التي يضعها المستخدمون في البرامج التي يتم تنزيلها مباشرة من المطورين الرسميين. وقد تم إبلاغ شركة AVB Disc Soft، مطورة DAEMON Tools، بالثغرة الأمنية.
هجوم سلسلة توريد يستهدف DAEMON Tools
بدأت هذه الهجمات بتاريخ 8 أبريل 2026، وشملت إصدارات تتراوح بين 12.5.0.2421 و 12.5.0.2434 من برنامج DAEMON Tools. وبحسب تقرير كاسبرسكي، فقد تم العبث بثلاثة مكونات رئيسية ضمن البرنامج: DTHelper.exe، و DiscSoftBusServiceLite.exe، و DTShellHlp.exe.
عند تشغيل أي من هذه الملفات التنفيذية، وهو ما يحدث عادةً عند بدء تشغيل النظام، يتم تنشيط حمولة خبيثة على الجهاز المصاب. تقوم هذه الحمولة بإرسال طلب HTTP GET إلى خادم خارجي (env-check.daemontools[.]cc) لاستلام أوامر لتنفيذها عبر عملية cmd.exe.
آلية عمل الحمولة الخبيثة
تُستخدم أوامر shell المكتسبة لتنزيل وتشغيل سلسلة من الحمولة التنفيذية. تشمل هذه الحمولة ملف envchk.exe، وهو تطبيق .NET مصمم لجمع معلومات شاملة عن النظام. بالإضافة إلى ذلك، تم اكتشاف ملفي cdg.exe و cdg.tmp؛ حيث يقوم الأول، وهو مشغل shellcode، بفك تشفير محتويات الملف الثاني وتشغيل باب خلفي مصغر يتواصل مع خادم بعيد لتنزيل ملفات، أو تنفيذ أوامر shell، أو تشغيل حمولات shellcode في الذاكرة.
أفادت كاسبرسكي برصد آلاف محاولات الإصابة التي شملت برنامج DAEMON Tools في بياناتها التشخيصية، مما أثر على أفراد ومؤسسات في أكثر من 100 دولة. ومع ذلك، لم يتم تسليم الباب الخلفي اللاحق إلا لعشرات الأجهزة، مما يشير إلى نهج استهدافي.
وقد تم تحديد الأنظمة التي تلقت البرامج الضارة اللاحقة بأنها تابعة لمنظمات في قطاعات التجزئة، والعلوم، والحكومة، والتصنيع في روسيا وبيلاروسيا وتايلاند. علاوة على ذلك، كانت إحدى الحمولة التي تم تسليمها عبر الباب الخلفي عبارة عن حصان طروادة للوصول عن بعد يُعرف باسم QUIC RAT، وقد تم تسجيل استخدام هذا التطبيق المكتوب بلغة C++ ضد ضحية واحدة فقط، وهي مؤسسة تعليمية في روسيا.
التوجه الاستهدافي وعدم الانتماء المعروف
يشير أسلوب توزيع الباب الخلفي على مجموعة صغيرة من الأجهزة المصابة بوضوح إلى أن المهاجم لديه نوايا لتنفيذ العدوى بطريقة مستهدفة. ومع ذلك، فإن نيته، سواء كانت تجسسًا سيبرانيًا أو “صيدًا كبيرًا”، غير واضحة حاليًا.
يدعم البرنامج الضار مجموعة متنوعة من بروتوكولات القيادة والتحكم (C2)، بما في ذلك HTTP و UDP و TCP و WSS و QUIC و DNS و HTTP/3. ويأتي مزودًا بقدرات لحقن الحمولة في عمليات شرعية مثل notepad.exe و conhost.exe.
لم يتم ربط هذا النشاط بأي جهة تهديد أو مجموعة معروفة حتى الآن. لكن الأدلة تشير إلى أنه عمل من قبل جهة فاعلة ناطقة باللغة الصينية بناءً على تحليل القطع الأثرية المرصودة.
يعد اختراق DAEMON Tools أحدث إضافة إلى قائمة متزايدة من حوادث سلسلة توريد البرمجيات في النصف الأول من عام 2026. ويأتي ذلك في أعقاب اختراقات مماثلة بارزة شملت eScan في يناير، و Notepad++ في فبراير، و CPUID في أبريل.
يُعد اختراق من هذا النوع تجاوزاً لضوابط الدفاع المحيطية التقليدية، لأن المستخدمين يثقون ضمنياً في البرامج الموقعة رقميًا التي يتم تنزيلها مباشرة من بائع رسمي. لهذا السبب، ظل هجوم DAEMON Tools دون اكتشاف لمدة شهر تقريبًا. وتشير هذه الفترة الزمنية إلى أن الجهة الخلفية وراء هذا الهجوم متطورة وتمتلك قدرات هجومية متقدمة.
نظرًا للتعقيد العالي للاختراق، من الأهمية بمكان أن تقوم المؤسسات بعزل الأجهزة التي تم تثبيت برنامج DAEMON Tools عليها، وكذلك إجراء عمليات فحص أمنية لمنع المزيد من انتشار الأنشطة الخبيثة داخل الشبكات المؤسسية.