كشفت شركة Kaspersky عن هجوم سلسلة توريد جديد استهدف برنامج DAEMON Tools الشهير، حيث تم التلاعب بالمثبتات الرسمية للبرنامج لتوزيع برمجيات خبيثة على المستخدمين. الأخطر أن هذه المثبتات كانت تُوزع عبر الموقع الرسمي للبرنامج وموقعة بشهادات رقمية تابعة للمطورين، ما منحها مصداقية عالية وأتاح للهجوم المرور دون اكتشاف لفترة طويلة.
تفاصيل الاختراق والملفات المصابة
الهجوم بدأ في 8 أبريل 2026، واستهدف إصدارات 12.5.0.2421 حتى 12.5.0.2434 من نسخة ويندوز فقط، بينما بقيت نسخة ماك آمنة. ثلاثة مكونات رئيسية تم تعديلها:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
عند تشغيل أي من هذه الملفات، يتم تفعيل زرع خبيث يتصل بخادم خارجي عبر طلب HTTP للحصول على أوامر تُنفذ باستخدام cmd.exe، ما يفتح الباب أمام تحميل وتنفيذ برمجيات إضافية.
مراحل الهجوم والبرمجيات المستخدمة
الهجوم اعتمد على سلسلة من البرمجيات الخبيثة، منها:
- envchk.exe: برنامج مكتوب بـ .NET لجمع معلومات شاملة عن النظام.
- cdg.exe وcdg.tmp: الأول يعمل كأداة تحميل للشيفرة الخبيثة، والثاني يحتوي على باب خلفي مصغر قادر على تنزيل ملفات وتنفيذ أوامر والتحكم عن بُعد.
- QUIC RAT: حصان طروادة للوصول عن بُعد، تم رصده في مؤسسة تعليمية بروسيا.
الهجوم استهدف آلاف الأجهزة في أكثر من 100 دولة، منها روسيا، البرازيل، تركيا، ألمانيا، فرنسا، إيطاليا، والصين. لكن المرحلة الثانية من العدوى، التي تضمنت نشر الباب الخلفي، اقتصرت على عدد محدود من المؤسسات في قطاعات حساسة مثل التجزئة والبحث العلمي والحكومات.
طبيعة الهجوم والجهة المشتبه بها
رغم أن الهجوم لم يُنسب رسميًا إلى مجموعة تهديد معروفة، إلا أن تحليل الأدوات والآثار الرقمية يشير إلى أن منفذيه ناطقون بالصينية. هذا يعزز فرضية أن الهجوم جزء من سلسلة أوسع من عمليات التجسس السيبراني المرتبطة بجهات مدعومة من دول.
استجابة الشركة وتحديثات الأمان
شركة AVB Disc Soft، المطورة للبرنامج، أكدت أن الهجوم اقتصر على نسخة DAEMON Tools Lite المجانية، بينما بقيت نسخ Pro وUltra آمنة. في 5 مايو 2026، أصدرت الشركة تحديثًا جديدًا (الإصدار 12.6.0.2445) خالٍ من الملفات المصابة. كما اتخذت إجراءات عاجلة شملت:
- عزل الأنظمة المتأثرة وتأمينها.
- إزالة الملفات المشبوهة من التوزيع.
- مراجعة خط أنابيب البناء والإصدار.
- تعزيز الضوابط الأمنية الداخلية وأنظمة المراقبة.
الشركة نصحت المستخدمين الذين قاموا بتنزيل النسخة المجانية خلال الفترة المتأثرة بإلغاء تثبيتها فورًا، إجراء فحص شامل باستخدام برامج مكافحة الفيروسات، ثم تنزيل النسخة المحدثة من الموقع الرسمي.
