Sicherheitsforscher haben kürzlich bekannt gegeben, dass die weit verbreitete Software für virtuelle optische Laufwerke DAEMON Tools einen schweren Angriff auf die Lieferkette erlitten hat. Sein offizieller Installer wurde seit Anfang April 2026 mit einer Hintertür ausgestattet und über formelle Kanäle verbreitet, was Tausende von Geräten auf der ganzen Welt betrifft. Den von Kaspersky veröffentlichten Untersuchungsergebnissen zufolge sind die Angreifer in das legitime Installationspaket eingedrungen und haben Schadcode in die offiziell digital signierte Binärdatei eingeschleust, wodurch das Schadprogramm als vertrauenswürdiges Software-Update getarnt ausgeliefert werden konnte.
Untersuchungen zeigen, dass diese Angriffsrunde am 8. April 2026 begann, als mehrere Versionen von DAEMON Tools (12.5.0.2421 bis 12.5.0.2434) „vergiftet“ wurden und das manipulierte Installationsprogramm gehostet wurde direkt auf der offiziellen Website der Software und signiert mit einem gültigen digitalen Zertifikat des Entwicklers AVB Disc Soft, was die Wahrscheinlichkeit, dass Benutzer misstrauisch werden und betrogen werden, erheblich erhöht. Die Forscher wiesen darauf hin, dass der Angriff Anfang Mai noch andauerte und die entsprechende bösartige Infrastruktur noch aktiv war.
Bei diesem Vorfall wurden mehrere ausführbare Kerndateien wie DTHelper.exe, DiscSoftBusServiceLite.exe und DTShellHlp.exe geändert und eine versteckte Hintertürlogik hinzugefügt. Sobald die Software installiert ist, werden diese Komponenten automatisch beim Systemstart ausgeführt und stellen die Kommunikation mit externen Befehls- und Kontrollservern (C2) her. Der Angreifer registrierte und aktivierte außerdem einen Domänennamen, der dem offiziellen Namen der DAEMON Tools-Site sehr ähnlich war, um böswilligen Datenverkehr als normales Zugriffsverhalten zu tarnen; Der Domainname wurde erst wenige Tage vor Beginn des Angriffs registriert, was zeigt, dass der Angriff sorgfältig vorsätzlich und geplant war.
Aus Sicht der Angriffsverbindung zeigte dieser Vorgang eine offensichtliche Phasenstruktur. Auf den meisten Opfergeräten empfängt das System zunächst eine informationsstehlende Nutzlast, die zum Sammeln verschiedener Umgebungsdaten verwendet wird, darunter MAC-Adresse, Hostname, Liste der installierten Software, laufende Prozesse, Netzwerkkonfiguration und Systemsprachen-/Regionseinstellungen. Diese Daten werden auf einen vom Angreifer kontrollierten Server hochgeladen und vermutlich zur Profilierung und Bewertung des Werts des infizierten Systems verwendet, um so zu entscheiden, ob in Zukunft Tools auf höherer Ebene gestartet werden sollen. Die Forscher fanden auch einige chinesische Zeichenfolgen in der Nutzlast, was darauf hindeutet, dass der Angreifer ein chinesischer Benutzer sein könnte, es gibt jedoch noch keine formelle und eindeutige Schlussfolgerung zur Rückverfolgbarkeit.
Obwohl weltweit Tausende von Infektionsversuchen festgestellt wurden, wird nur eine kleine Anzahl von Zielhosts tatsächlich mit dem Schadprogramm der zweiten Stufe infiziert. Diese „vorrangigen Ziele“ sind meist mit Branchenorganisationen wie Regierung, Fertigung, wissenschaftlicher Forschung und Einzelhandel verbunden. Diese begrenzte Bereitstellung und gezielte Überlastungsmethode zeigt, dass es sich nicht um einen einfachen opportunistischen Angriff handelt, sondern eher um eine gezielte Aktion mit der Absicht, Informationen zu sammeln oder strategisch einzudringen.
Unter den bestätigten Tools der zweiten Stufe fanden die Forscher eine minimalistische Hintertür, die Befehle ausführen, Dateien herunterladen und Schadcode direkt in den Speicher laden kann, um ihn auf dem System des Opfers auszuführen und so Landing Traces zu reduzieren. Bei mindestens einem erfolgreichen Einbruch setzten die Angreifer auch ein fortschrittliches Implantat namens QUIC RAT ein. Dieses Schadprogramm unterstützt mehrere Kommunikationsprotokolle wie HTTP, TCP, DNS, QUIC usw. und kann seinen eigenen Schadcode in legitime Prozesse wie notepad.exe einschleusen und so seine Aktivitätsspuren noch weiter verbergen.
Telemetriedaten zeigen, dass entsprechende Infektionsversuche in mehr als 100 Ländern beobachtet wurden. Zu den Regionen mit der größten Anzahl betroffener Systeme gehören Russland, Brasilien, die Türkei, Spanien, Deutschland, Frankreich, Italien und China. Etwa 10 % der betroffenen Geräte gehören verschiedenen Organisationen, und die meisten anderen bleiben nur in der ersten Datenerfassungsphase und erhalten keine weiteren Payloads der zweiten Stufe.
Kaspersky gab an, dass seine Sicherheitsprodukte diesen Angriff in vielerlei Hinsicht erkennen und abfangen können, einschließlich der Identifizierung verdächtiger Download-Verhaltensweisen auf PowerShell-Basis, von Schadprogrammen, die aus temporären Verzeichnissen ausgeführt werden, von Aktivitäten, die Code in legitime Prozesse einschleusen, und abnormaler externer Netzwerkkommunikationsmuster. Die Forscher empfehlen, dass jede Organisation, die DAEMON Tools nach dem 8. April 2026 installiert hat, eine umfassende Prüfung der relevanten Systeme durchführen und sich dabei auf die Prüfung auf ungewöhnliche PowerShell-Befehlszeilenaktivitäten und verdächtige Ausführungen konzentrieren sollte, die vom temporären Verzeichnis aus ausgelöst werden. Gleichzeitig sollten Unternehmen der Implementierung einer Zero-Trust-Sicherheitsarchitektur Priorität einräumen, die ausführbaren Berechtigungen temporärer Verzeichnisse einschränken und die allgemeine Sicherheitsstabilität durch eine mehrschichtige Verteidigungsstrategie verbessern.
Dieser Vorfall in der Lieferkette von DAEMON Tools zeigt einmal mehr, dass Angreifer ihre Angriffsmethoden gegen die Software-Lieferkette ständig verbessern, indem sie groß angelegte Verbreitung mit präzisen Angriffen kombinieren und legale und vertrauenswürdige Software als Sprungbrett nutzen, um in verschiedene Umgebungen einzudringen. Vor diesem Hintergrund müssen selbst häufig verwendete Softwaretools, die lange Zeit als „Sicherheit“ galten, als potenzielle Risikoquellen betrachtet werden, und Unternehmen müssen umsichtigere und proaktivere Sicherheitsstrategien einführen, um mit immer komplexeren Bedrohungen in der Lieferkette umzugehen.