卡巴斯基發(fā)現(xiàn)Daemon Tools官網(wǎng)遭供應(yīng)鏈攻擊，惡意后門借官網(wǎng)分發(fā)

卡巴斯基全球研究與分析團(tuán)隊(duì)（GReAT）發(fā)現(xiàn)一起正在進(jìn)行的供應(yīng)鏈攻擊，攻擊目標(biāo)為Daemon Tools的官方網(wǎng)站，一款被廣泛使用的虛擬光驅(qū)模擬軟件。被篡改的安裝程序在交付合法應(yīng)用的同時，還會植入惡意軟件，從而使威脅行為者能夠執(zhí)行任意命令，并遠(yuǎn)程控制被感染的設(shè)備。

在最近的一次遙測研究中，研究人員發(fā)現(xiàn)，自2026年4月8日起，威脅行為者一直在通過該供應(yīng)商的主域名直接分發(fā)被篡改的軟件，并利用有效的開發(fā)者數(shù)字證書成功隱藏了惡意軟件。此次惡意注入影響范圍涵蓋Daemon Tools 12.5.0.2421版本直至當(dāng)前發(fā)布的版本。卡巴斯基已通知Daemon Tools的開發(fā)商AVB Disc Soft，以便其采取相應(yīng)的補(bǔ)救措施。

由于磁盤模擬軟件在正常運(yùn)行時需要較低層級的系統(tǒng)訪問權(quán)限，用戶在安裝過程中通常會授予該應(yīng)用更高的管理員權(quán)限。這一機(jī)制使得嵌入的惡意軟件能夠在主機(jī)操作系統(tǒng)中獲得深度的立足點(diǎn)，嚴(yán)重破壞設(shè)備的完整性。具體而言，攻擊者篡改了合法應(yīng)用程序的二進(jìn)制文件，以便在進(jìn)程啟動時執(zhí)行惡意代碼，并利用合法的 Windows 服務(wù)在主機(jī)上維持持久性。

卡巴斯基的遙測數(shù)據(jù)顯示，被篡改的最新版工具已在全球超過100個國家和地區(qū)廣泛傳播。受害者主要分布在俄羅斯、巴西、土耳其、西班牙、德國、法國、意大利和中國。

分析顯示，受影響系統(tǒng)中有10%屬于企業(yè)和組織。雖然Daemon Tools主要被消費(fèi)者廣泛使用，但它在企業(yè)環(huán)境中的存在會使企業(yè)網(wǎng)絡(luò)面臨嚴(yán)重的下游風(fēng)險。

在來自零售、科研、政府和制造業(yè)等行業(yè)的十余臺受影響設(shè)備中，卡巴斯基全球研究與分析團(tuán)隊(duì)（GReAT）觀察到攻擊者手動部署了額外的惡意載荷，包括一個shellcode注入器和此前未知的遠(yuǎn)程訪問木馬（RAT）。這些受害者的行業(yè)分布較為集中，加上執(zhí)行命令中存在拼寫錯誤和不一致之處，表明后續(xù)活動是針對特定目標(biāo)進(jìn)行的手動操作。盡管研究人員在惡意植入程序中發(fā)現(xiàn)了中文痕跡，但目前尚未將此次攻擊活動溯源至任何已知的威脅行為者。

“此類性質(zhì)的入侵會繞過傳統(tǒng)的邊界防護(hù)，因?yàn)橛脩魰患討岩傻匦湃沃苯訌墓俜焦?yīng)商網(wǎng)站下載的、帶有數(shù)字簽名的軟件，”卡巴斯基GReAT高級安全研究員Georgy Kucherin表示：“正因如此，針對 Daemon Tools 的攻擊在近一個月內(nèi)未被察覺。相應(yīng)地，這段時間也表明該攻擊背后的威脅行為者具備較高的技術(shù)水平，并擁有成熟的進(jìn)攻能力。鑒于此次入侵事件的復(fù)雜程度極高，各組織必須立即隔離安裝了 Daemon Tools 軟件的計(jì)算機(jī)，并開展安全排查，以防止惡意活動在企業(yè)網(wǎng)絡(luò)內(nèi)進(jìn)一步擴(kuò)散。”

卡巴斯基會主動檢測并阻止受感染的安裝程序的執(zhí)行。研究人員建議各組織清查其網(wǎng)絡(luò)中是否存在 Daemon Tools Lite，隔離受影響的終端，并監(jiān)控是否存在未經(jīng)授權(quán)的命令執(zhí)行或橫向移動。個人用戶應(yīng)立即卸載受感染的應(yīng)用程序，并運(yùn)行全面的系統(tǒng)掃描以清除任何殘留威脅。

研究報(bào)告全文請參閱Securelist.com.??

2026年5月6日最新狀況：在該漏洞被披露后，該供應(yīng)商承認(rèn)了該問題，并發(fā)布了旨在解決該問題的新軟件版本。更新后的12.6.0.2445版本已不再包含本新聞稿中所述的惡意行為。

2026年3月，卡巴斯基的一項(xiàng)研究發(fā)現(xiàn)，供應(yīng)鏈攻擊是企業(yè)在過去12個月中最常面臨的網(wǎng)絡(luò)威脅，然而只有9%的組織將其列為首要關(guān)注事項(xiàng)。

為消除軟件供應(yīng)鏈攻擊帶來的風(fēng)險，卡巴斯基建議各組織采取以下安全措施：

·審計(jì)軟件供應(yīng)鏈：在批準(zhǔn)第三方應(yīng)用程序進(jìn)入企業(yè)環(huán)境之前，應(yīng)評估供應(yīng)商的安全記錄，審查其漏洞披露數(shù)據(jù)，并核實(shí)其是否符合行業(yè)安全標(biāo)準(zhǔn)。

·執(zhí)行嚴(yán)格的采購協(xié)議：要求對所有已部署的軟件進(jìn)行定期安全審計(jì)，并確保員工使用的任何工具均符合組織的內(nèi)部安全政策和安全事件通報(bào)要求。

·限制管理權(quán)限：實(shí)施預(yù)防性框架，例如最小權(quán)限原則和零信任架構(gòu)。限制用戶訪問權(quán)限可顯著降低受信任應(yīng)用程序遭到入侵并試圖執(zhí)行未經(jīng)授權(quán)的命令時，可能造成的破壞范圍。

·部署持續(xù)的基礎(chǔ)設(shè)施監(jiān)控：卡巴斯基建議使用擴(kuò)展檢測與響應(yīng)（XDR）解決方案，例如卡巴斯基 Next 產(chǎn)品線中的相關(guān)工具。這些工具提供實(shí)時監(jiān)控，以識別網(wǎng)絡(luò)流量中的異常或來自隱性可信軟件的未授權(quán)行為。

·更新事件響應(yīng)手冊：確保組織的安全策略明確涵蓋供應(yīng)鏈入侵事件。響應(yīng)手冊必須包含預(yù)定義的步驟，以便快速識別、遏制受感染的第三方應(yīng)用程序，并將其從內(nèi)部系統(tǒng)中斷開。

關(guān)于全球研究與分析團(tuán)隊(duì)

全球研究與分析團(tuán)隊(duì)（GReAT）成立于 2008 年，是卡巴斯基的核心部門，負(fù)責(zé)揭露 APT、網(wǎng)絡(luò)間諜活動、重大惡意軟件、勒索軟件和全球地下網(wǎng)絡(luò)犯罪趨勢。目前，GReAT 由 35名以上專家組成，他們在歐洲、俄羅斯、美洲、亞洲和中東等全球范圍內(nèi)工作。這些才華橫溢的安全專業(yè)人員為公司的反惡意軟件研究和創(chuàng)新發(fā)揮著領(lǐng)導(dǎo)作用，他們以無與倫比的專業(yè)知識、熱情和好奇心致力于發(fā)現(xiàn)和分析網(wǎng)絡(luò)威脅。

關(guān)于卡巴斯基

卡巴斯基是一家成立于1997年的全球網(wǎng)絡(luò)安全和數(shù)字隱私公司。迄今為止，卡巴斯基已保護(hù)超過十億臺設(shè)備免受新興網(wǎng)絡(luò)威脅和針對性攻擊。卡巴斯基不斷將深度威脅情報(bào)和安全技術(shù)轉(zhuǎn)化成創(chuàng)新的安全解決方案和服務(wù)，為全球的個人用戶、企業(yè)、關(guān)鍵基礎(chǔ)設(shè)施和政府提供安全保護(hù)。該公司全面的安全產(chǎn)品組合包括領(lǐng)先的個人設(shè)備數(shù)字生活保護(hù)、面向企業(yè)的專業(yè)安全產(chǎn)品和服務(wù)，以及用于對抗復(fù)雜且不斷演變的數(shù)字威脅的網(wǎng)絡(luò)免疫解決方案。我們?yōu)閿?shù)百萬個人用戶及近20萬企業(yè)客戶守護(hù)他們最珍視的數(shù)字資產(chǎn)。