هجوم سلسلة توريد يستهدف DAEMON Tools ويحوّل المُثبّتات الرسمية إلى برمجيات خبيثة

كشفت شركة Kaspersky عن هجوم جديد من نوع “سلسلة التوريد” استهدف برنامج DAEMON Tools، حيث تم التلاعب بملفات التثبيت الرسمية لتحميل برمجيات خبيثة على أجهزة المستخدمين.
وأوضح الباحثون إيغور كوزنيتسوف، جورجي كوتشيرين، ليونيد بيزفيرشينكو، وأنطون كارجين أن هذه المُثبّتات يتم توزيعها عبر الموقع الرسمي للبرنامج، وموقعة بشهادات رقمية تعود لمطوري DAEMON Tools أنفسهم، ما يزيد من صعوبة اكتشافها.
وبحسب التقرير، تم “ترويج” هذه المُثبّتات منذ 8 أبريل 2026، حيث تم تحديد الإصدارات من 12.5.0.2421 إلى 12.5.0.2434 كإصدارات مخترقة. وأكدت كاسبرسكي أن الهجوم استهدف نسخة Microsoft Windows فقط، دون التأثير على نسخة macOS. ولا يزال الهجوم نشطًا حتى لحظة إعداد التقرير، فيما تم إخطار الشركة المطورة AVB Disc Soft بالاختراق.
مكونات مخترقة داخل البرنامج
شمل التلاعب ثلاثة ملفات رئيسية داخل البرنامج:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
وعند تشغيل أي من هذه الملفات، يتم تفعيل “زرع خبيث” (implant) على الجهاز المصاب، حيث يقوم بإرسال طلب HTTP إلى خادم خارجي (env-check.daemontools[.]cc)، وهو نطاق تم تسجيله في 27 مارس 2026، للحصول على أوامر يتم تنفيذها عبر موجه الأوامر (cmd.exe).
تحميل برمجيات إضافية خبيثة
تُستخدم هذه الأوامر لتنزيل وتشغيل عدة ملفات تنفيذية، منها:
- envchk.exe: لجمع معلومات تفصيلية عن النظام
- cdg.exe و cdg.tmp: حيث يعمل الأول كمحمّل شيفرة خبيثة لفك تشفير الثاني، الذي يقوم بدوره بتشغيل باب خلفي بسيط يمكنه تحميل ملفات، تنفيذ أوامر، وتشغيل شيفرات داخل الذاكرة
وأشارت كاسبرسكي إلى تسجيل آلاف محاولات الإصابة حول العالم، شملت أكثر من 100 دولة، من بينها روسيا، البرازيل، تركيا، إسبانيا، ألمانيا، فرنسا، إيطاليا، والصين. ومع ذلك، تم استهداف عدد محدود فقط من الأجهزة بمرحلة الهجوم المتقدمة، ما يدل على طبيعة الهجوم الانتقائية.
استهداف جهات حساسة
وأظهرت البيانات أن الأنظمة التي تلقت المرحلة الثانية من البرمجيات الخبيثة تعود لقطاعات التجزئة، والبحث العلمي، والحكومة، والصناعة، في دول مثل روسيا وبيلاروسيا وتايلاند.
ومن بين البرمجيات المستخدمة، حصان طروادة للتحكم عن بُعد يُعرف باسم QUIC RAT، إضافة إلى أدوات متقدمة مكتوبة بلغة ++C، تم استخدامها ضد جهة تعليمية في روسيا.
مؤشرات على جهة ناطقة بالصينية
ورغم عدم نسب الهجوم إلى جهة محددة، تشير الأدلة إلى احتمال وقوف جهة ناطقة باللغة الصينية وراء العملية، بناءً على تحليل المؤشرات التقنية.
تجاوز أنظمة الحماية التقليدية
وأكدت كاسبرسكي أن هذا النوع من الهجمات يتجاوز الدفاعات التقليدية، لأن المستخدمين يثقون بالبرمجيات الموقعة رقميًا والتي يتم تحميلها من المصادر الرسمية.
وأضافت أن الهجوم ظل دون اكتشاف لمدة تقارب شهرًا، ما يعكس مستوى عاليًا من التعقيد والاحترافية لدى الجهة المنفذة.
تحذير للمؤسسات
ودعت كاسبرسكي المؤسسات إلى عزل الأجهزة التي تحتوي على البرنامج، وإجراء فحوصات أمنية شاملة لمنع انتشار التهديد داخل الشبكات.
من جهتها، أكدت الشركة المطورة أنها على علم بالتقارير، وتعمل حاليًا على التحقيق في الحادثة، مشيرة إلى أنها تتعامل مع الأمر بأعلى درجات الأولوية، وستقدم تحديثات فور توفر معلومات مؤكدة.
تم تحديث الخبر لاحقًا لإضافة ردود من كاسبرسكي وشركة AVB Disc Soft.

