知名磁盘工具Daemon Tools遭供应链攻击,百家企业受影响
安全公司卡巴斯基(Kaspersky)近日披露,知名磁盘工具软件Daemon Tools遭遇长达一个月的供应链攻击,约100家组织受到影响。受影响组织主要分布于俄罗斯、巴西、土耳其、西班牙、德国、法国、意大利和中国。
据卡巴斯基分析,攻击者通过篡改软件更新包植入恶意载荷,其中大部分感染机器仅被部署信息收集模块。然而,在约十余台隶属于政府、科研、制造和零售机构的机器上,攻击者部署了更复杂的后门程序,名为QUIC RAT。该后门具备在内存中执行shellcode、下载文件、执行命令的能力,并能注入notepad.exe和conhost.exe等合法系统进程,支持HTTP、UDP、TCP、WSS、QUIC、DNS和HTTP/3等多种C2通信协议,显着提升隐蔽性。
卡巴斯基指出,尽管其监测数据基于自身产品,但分析显示10%的受影响系统为商业或机构用户。攻击者将复杂后门仅部署于小部分目标机器,表明攻击具有明确针对性,但其目的——是否为网络间谍活动或“大游戏狩猎”(big game hunting)——尚不明确。
此次事件是近期多起供应链攻击中的最新案例。此前,Trivy、Checkmarx、Bitwarden等开源软件及超过150个开源包也遭遇类似攻击。去年全球已发生至少六起重大供应链攻击事件。
卡巴斯基建议,所有Daemon Tools用户应立即使用可信杀毒软件进行全面系统扫描。Windows用户可参考其发布的指示性攻击特征(IOC)进行排查。对于技术用户,建议监控“从Temp、AppData、Public等公共目录启动的可执行文件对合法系统进程的可疑代码注入行为”。
编辑点评
此次Daemon Tools供应链攻击事件凸显了全球软件供应链安全存在的系统性漏洞。攻击者通过篡改广泛使用的工具软件,实现对多国关键机构的渗透,尤其在俄罗斯、中国等国多个行业机构中发现感染,显示攻击范围已超越单一区域,具备全球性影响。QUIC RAT后门的出现,表明攻击者具备高级技术能力,其支持多种通信协议和进程注入技术,明显用于规避检测,提升持久化控制能力。
该事件与近期Trivy、Bitwarden等开源项目遭攻击形成呼应,反映出开源生态与商业软件供应链同样面临重大风险。攻击者利用用户对知名软件的信任,实施“信任链劫持”,这种模式正成为国家行为体或高级持续性威胁(APT)组织的常用手段。此次攻击中,仅在少数机器上部署复杂后门,暗示攻击者可能在进行情报收集或为后续更大规模行动做准备。
从国际安全格局看,此类攻击加剧了各国对关键基础设施和数字资产的保护压力,可能促使更多国家加强软件供应链审查机制。同时,跨国企业、科研机构和政府单位需重新评估第三方软件的风险,推动零信任架构和代码审计常态化。未来,全球网络安全治理将更注重供应链透明度和漏洞响应速度,以应对日益复杂的混合威胁环境。