Disk imajlarını çalıştırmak için yaygın olarak kullanılan Daemon Tools uygulamasının, geliştiricisinin sunucularından gönderilen zararlı güncellemelerle aylarca süren bir saldırı sonucu güvenlik açığına maruz kaldığı bildirildi.
Güvenlik firması Kaspersky'nin paylaştığı bilgilere göre, tedarik zinciri saldırısı 8 Nisan'da başladı ve haberin yayınlandığı tarihte hala aktif durumdaydı. Geliştiricinin resmi dijital sertifikasıyla imzalanan ve resmi web sitesinden indirilen yükleyiciler, Daemon Tools çalıştırılabilir dosyalarını etkileyerek, kötü amaçlı yazılımın sistem başlangıcında çalışmasına neden oluyor. Teknik detaylara göre, etkilenen sürümlerin yalnızca Windows işletim sistemleri için geçerli olduğu görülüyor. 12.5.0.2421 ile 12.5.0.2434 arasındaki sürümler etkilenmiştir.
Savunması Zor Bir Saldırı Türü
Etkilenen sürümlerde, MAC adresleri, ana bilgisayar adları, DNS alan adları, çalışan işlemler, yüklü yazılımlar ve sistem yerellerini toplayan bir ilk yük bulunuyor. Kötü amaçlı yazılım, bu bilgileri saldırgan kontrollü bir sunucuya gönderiyor. 100'den fazla ülkedeki binlerce makine hedef alındı. Enfekte olan makinelerden yaklaşık 12 tanesi, perakende, bilimsel, kamu ve üretim sektörlerindeki kuruluşlara ait ve bu makineler ek bir yük alarak, tedarik zinciri saldırısının belirli grupları hedeflediğini gösteriyor.
Bu olay, CCleaner Windows yardımcı programının 2017'de, kurumsal uygulamalar için Solar Winds yazılımının 2020'de ve 3CX VoIP istemcisinin 2023'te uğradığı saldırılara benzer bir tedarik zinciri saldırısı olarak öne çıkıyor. Bu tür saldırılara karşı savunma yapmak zordur çünkü kullanıcılar, resmi kanallar aracılığıyla sunulan dijital olarak imzalanmış güncellemeleri yüklemekten başka bir şey yapmadıklarında enfekte olurlar. Bu üç örnekte de, tehlikeye giren güncelleme dağıtım kanallarının keşfedilmesi haftalar veya aylar sürdü.
Kaspersky araştırmacıları, "Tedarik zinciri saldırılarını analiz etme konusundaki uzun vadeli deneyimimize dayanarak, saldırganların DAEMON Tools'un ele geçirilmesini oldukça sofistike bir şekilde organize ettiklerini söyleyebiliriz" dedi. "Örneğin, tespit edilmesi yaklaşık bir ay süren bu saldırının süresi, 2023'te siber güvenlik topluluğu ile birlikte araştırdığımız 3CX tedarik zinciri saldırısıyla karşılaştırılabilir. Saldırının yüksek karmaşıklığı göz önüne alındığında, kuruluşların 8 Nisan veya sonrasında meydana gelen olağandışı siber güvenlik etkinlikleri için DAEMON Tools yüklü makineleri dikkatlice incelemeleri büyük önem taşımaktadır."
Yaklaşık bir düzine kuruluşa gönderilen ek yüklerden biri, Kaspersky'nin "minimalist bir arka kapı" olarak tanımladığı bir araçtı. Bu arka kapı, komutları yürütme, dosyaları indirme ve bellekte kabuk kodu yüklerini çalıştırma yeteneğine sahip, bu da enfeksiyonun tespit edilmesini zorlaştırıyor.
Kaspersky, Rusya'da bulunan bir eğitim kurumuna ait tek bir makineye QUIC RAT adlı daha karmaşık bir arka kapının yüklendiğini gözlemlediğini belirtti. İlk analiz, bu arka kapının notepad.exe ve conhost.exe işlemlerine yükleri enjekte edebildiğini ve HTTP, UDP, TCP, WSS, QUIC, DNS ve HTTP/3 dahil olmak üzere çeşitli C2 iletişim protokollerini desteklediğini ortaya koydu.
Enfekte olan 100 kuruluşun büyük çoğunluğu Rusya, Brezilya, Türkiye, İspanya, Almanya, Fransa, İtalya ve Çin'de bulunuyordu. Kaspersky'nin saldırıya ilişkin görünürlüğü, yalnızca kendi ürünlerinin sağladığı telemetriye dayandığı için sınırlıdır.
Kaspersky araştırmacıları şu ifadeleri kullandı:
Daha yakın tarihli tedarik zinciri saldırıları, Trivy, Checkmarx ve Bitwarden'ı ve açık kaynak depolarında bulunan 150'den fazla paketi etkiledi. Geçen yıl, en az altı dikkat çekici tedarik zinciri saldırısı yaşandı.
Daemon Tools kullanan herkesin, bilgisayarlarını saygın antivirüs yazılımlarıyla taramak için zaman ayırması önerilir. Windows kullanıcıları ayrıca Kaspersky'nin yayınladığı uyarı göstergelerini de kontrol etmelidir. Daha teknik olarak gelişmiş kullanıcılar için Kaspersky, özellikle Temp, AppData veya Public gibi genel olarak erişilebilir dizinlerden başlatılan çalıştırılabilir dosyalardan gelen durumlarda "meşru sistem işlemlerine şüpheli kod enjeksiyonlarını izlemelerini" tavsiye ediyor.
