虚拟光驱软件DAEMON Tools 自4月起遭遇供应链攻击 数千用户受影响
2026年05月06日 20:08 次阅读 稿源:cnBeta.COM 条评论
安全研究人员近日披露,广泛使用的虚拟光驱软件 DAEMON Tools 遭遇严重供应链攻击,其官方安装程序自 2026 年 4 月初起被植入后门并通过正规渠道分发,波及全球数千台设备。 根据卡巴斯基发布的调查结果,攻击者入侵了合法安装包,在经官方数字签名的二进制文件中注入恶意代码,使得恶意程序伪装成可信的软件更新进行投递。
调查显示,这轮攻击行动始于 2026 年 4 月 8 日,多个版本的 DAEMON Tools(12.5.0.2421 至 12.5.0.2434)被“投毒”,遭篡改后的安装程序直接托管在软件官方网站上,并使用开发商 AVB Disc Soft 的有效数字证书进行签名,大幅提高了用户误信和中招的概率。 研究人员指出,截至 5 月上旬,该攻击活动仍在持续,对应的恶意基础设施依然处于活跃状态。
在此次事件中,DTHelper.exe、DiscSoftBusServiceLite.exe、DTShellHlp.exe 等多个核心可执行文件被修改,加入隐藏后门逻辑。 一旦软件被安装,这些组件会在系统启动时自动运行,并与外部的命令与控制(C2)服务器建立通信。 攻击者还注册并启用了一个与 DAEMON Tools 官方站点名称极为相似的域名,以此将恶意流量伪装成正常访问行为;该域名在攻击开始前数日才注册,显示出攻击行动经过精心预谋和策划。
从攻击链路来看,此次行动呈现明显的分阶段结构。 在大多数受害设备上,系统首先会接收到一个信息窃取类的初始载荷,用于收集包括 MAC 地址、主机名、已安装软件列表、正在运行的进程、网络配置以及系统语言/区域设置等在内的多种环境数据。 这些数据会被上传至攻击者控制的服务器,推测用于对受感染系统进行画像与价值评估,从而决定后续是否投放更高级别的工具。 研究人员还在该载荷中发现了部分中文字符串,暗示攻击方可能为中文使用者,但目前尚未有正式、明确的溯源结论。
虽然监测到的感染尝试已遍布全球、数量达数千例,但真正被投放第二阶段恶意程序的仅是少数目标主机。 这些“优先目标”多隶属于政府、制造业、科学研究以及零售等行业组织。 这种有限投放、定向加码的方式显示,这并非单纯的机会型攻击,而更接近具有情报收集或战略渗透意图的定向行动。
在已确认的二阶段工具中,研究人员发现一种极简后门,可在受害系统上执行命令、下载文件,并将恶意代码直接加载至内存中运行,以降低落地痕迹。 在至少一例成功入侵的案例中,攻击者还部署了名为 QUIC RAT 的高级植入程序。 该恶意程序支持 HTTP、TCP、DNS、QUIC 等多种通信协议,并可将自身恶意代码注入到诸如 notepad.exe 等合法进程中,从而进一步隐蔽其活动轨迹。
遥测数据显示,目前已在 100 多个国家观测到相关感染尝试。 受影响系统数居前的地区包括俄罗斯、巴西、土耳其、西班牙、德国、法国、意大利和中国等。 其中约一成受影响设备属于各类组织机构,其余大多仅停留在初始的数据收集阶段,并未进一步接收第二阶段载荷。
卡巴斯基表示,其安全产品可以在多个环节对本次攻击进行检测与拦截,包括识别可疑的基于 PowerShell 的下载行为、从临时目录执行的恶意程序、向合法进程注入代码的活动,以及异常的对外网络通信模式等。 研究人员建议,凡是在 2026 年 4 月 8 日之后安装过 DAEMON Tools 的组织,应对相关系统开展全面审计,重点检查是否存在异常的 PowerShell 命令行活动以及从临时目录触发的可疑执行。 同时,机构应优先落实零信任安全架构,限制临时目录的可执行权限,并通过分层防御策略提升整体安全韧性。
此次 DAEMON Tools 供应链事件再次表明,攻击者正在不断精进针对软件供应链的攻击手法,将大范围分发与精准打击相结合,以合法、可信的软件为跳板渗透各类环境。 在这种趋势下,即便是被长期视为“安全”的常用工具软件,也必须被视作潜在风险源,组织需要以更为审慎和主动的安全策略来应对日益复杂的供应链威胁。
-对文章打分
虚拟光驱软件DAEMON Tools 自4月起遭遇供应链攻击 数千用户受影响
1 (50%) 1 (50%)- 登录
[退出]
发布
最新资讯
加载中...编辑精选
加载中...热门评论
相关文章
-
英国国家医疗服务体系关闭开源代码库 AI安全威胁成关键考量
- 前天 12:24
-
联邦机构被要求周日前修复cPanel严重漏洞
- 4 天前
-
Meta外包商解雇逾千名AI标注员 媒体揭Ray‑Ban智能眼镜涉大规模隐私丑闻
- 5 天前
-
犹他州新法即将重创VPN用户 美国首个相关州级立法引发隐私担忧
- 5 天前
-
Denuvo回应DRM虚拟机监控程序破解:已着手开发更新安全版本
- 7 天前
Top 10
本周 本月-
1
DeepSeek连夜删掉的新论文到底说了什么
阅读 (897) 评论 (0) -
2
“DeepSeek版Claude Code” GitHub 2.3k星
阅读 (798) 评论 (0) -
3
联想抛弃ThinkPad 20年经典设计:取消独立镁合金骨架
阅读 (772) 评论 (1) - 4演员徐冬冬回应身上标签:可撕可不撕 有角色可演就很知足
- 5美国天后级歌手突发重病 曾接受昂贵“洗血”疗法
- 6生物圈震撼:00后小哥在客厅完成基因组测序 27亿美金壁垒塌了
- 7一图看懂DeepSeek V4与美国顶级AI差距:落后8个月
- 870岁周润发跑步近照流出 双颊凹陷被疑“瘦到脱相”
- 9Rufus重大更新:推出全新Windows 11安装方式 可大幅提升电脑性能
- 10OpenAI疯狂升级Codex 接管Mac人类全程0操作围观
-
1
《纽约时报》称已确认比特币发明者中本聪的真实身份
阅读 (5935) 评论 (0) -
2
苹果被曝下调 iPhone 18 规格以压缩成本
阅读 (2748) 评论 (0) -
3
苹果宣布CEO交接 蒂姆·库克发布致全球苹果用户公开信
阅读 (2116) 评论 (1) - 4第一批学AI的大学生,已经笑不出来了
- 5《永劫无间》女解说黑衣黑脸反讽舆论 日本网友狂赞
- 6微软无预警封停 WireGuard 与 VeraCrypt 开发者账号
- 7陈冠希撞脸赵本山 网友感慨颜值断崖式下滑
- 8韩国Naver宣布全面弃用阿里Qwen编码器
- 9Claude复活30年前传奇游戏 仅用一个周末
- 10乒乓球机器人Ace在东京击败顶级选手 创下体育机器人历史第一