كشف باحثون أمنيون مؤخرًا أن برنامج محرك الأقراص الضوئية الافتراضي المستخدم على نطاق واسع DAEMON Tools تعرض لهجوم خطير على سلسلة التوريد. وقد تم تثبيت برنامج التثبيت الرسمي الخاص به بباب خلفي منذ أوائل أبريل 2026 وتم توزيعه عبر القنوات الرسمية، مما يؤثر على آلاف الأجهزة حول العالم. ووفقًا لنتائج التحقيق الصادرة عن كاسبرسكي، قام المهاجمون بغزو حزمة التثبيت المشروعة وحقنوا تعليمات برمجية ضارة في الملف الثنائي الموقع رقميًا رسميًا، مما سمح بتسليم البرنامج الضار متنكرًا في صورة تحديث برنامج موثوق به.
أظهر التحقيق أن هذه الجولة من الهجمات بدأت في 8 أبريل 2026. تم "تسمم" إصدارات متعددة من أدوات DAEMON Tools (من 12.5.0.2421 إلى 12.5.0.2434) وتمت استضافة المثبتات التي تم العبث بها مباشرة على الموقع الرسمي للبرنامج واستخدمت المطور AVB Disc Soft Sign بشهادة رقمية صالحة، مما يزيد بشكل كبير من احتمالية عدم ثقة المستخدمين ووقوعهم ضحية للاحتيال. وأشار الباحثون إلى أنه اعتبارًا من أوائل شهر مايو، كان الهجوم لا يزال مستمرًا وكانت البنية التحتية الضارة المقابلة نشطة.
في هذه الحادثة، تم تعديل العديد من الملفات الأساسية القابلة للتنفيذ مثل DTHelper.exe وDiscSoftBusServiceLite.exe وDTShellHlp.exe وتمت إضافة منطق الباب الخلفي المخفي. بمجرد تثبيت البرنامج، تعمل هذه المكونات تلقائيًا عند تشغيل النظام وتقيم اتصالاً مع خوادم الأوامر والتحكم الخارجية (C2). قام المهاجم أيضًا بتسجيل وتنشيط اسم المجال الذي كان مشابهًا جدًا لاسم موقع DAEMON Tools الرسمي لإخفاء حركة المرور الضارة كسلوك وصول عادي؛ تم تسجيل اسم النطاق قبل أيام قليلة فقط من بدء الهجوم، مما يدل على أن الهجوم كان متعمدًا ومخططًا له بعناية.
من منظور رابط الهجوم، أظهرت هذه العملية بنية مرحلية واضحة. في معظم الأجهزة الضحية، يتلقى النظام أولاً حمولة أولية لسرقة المعلومات يتم استخدامها لجمع مجموعة متنوعة من البيانات البيئية بما في ذلك عنوان MAC واسم المضيف وقائمة البرامج المثبتة والعمليات قيد التشغيل وتكوين الشبكة وإعدادات لغة/منطقة النظام. سيتم تحميل هذه البيانات إلى خادم يتحكم فيه المهاجم، ومن المفترض أن يتم استخدامها لملف تعريف النظام المصاب وتقييم قيمته، وبالتالي تحديد ما إذا كان سيتم إطلاق أدوات عالية المستوى في المستقبل. ووجد الباحثون أيضًا بعض سلاسل الأحرف الصينية في الحمولة، مما يشير إلى أن المهاجم قد يكون مستخدمًا صينيًا، ولكن لا يوجد استنتاج رسمي وواضح لإمكانية التتبع حتى الآن.
على الرغم من اكتشاف محاولات الإصابة بالآلاف في جميع أنحاء العالم، إلا أن عددًا قليلاً فقط من المضيفين المستهدفين تم تسليمهم فعليًا المرحلة الثانية من البرامج الضارة. ترتبط هذه "الأهداف ذات الأولوية" في الغالب بمنظمات صناعية مثل الحكومة والتصنيع والبحث العلمي وتجارة التجزئة. يُظهر هذا التسليم المحدود وأسلوب التحميل الزائد المستهدف أن هذا ليس هجومًا انتهازيًا بسيطًا، ولكنه أقرب إلى العمل المستهدف بقصد جمع المعلومات الاستخبارية أو الاختراق الاستراتيجي.
ومن بين أدوات المرحلة الثانية المؤكدة، وجد الباحثون بابًا خلفيًا بسيطًا يمكنه تنفيذ الأوامر وتنزيل الملفات وتحميل التعليمات البرمجية الضارة مباشرة إلى الذاكرة لتشغيلها على نظام الضحية لتقليل آثار الهبوط. وفي اختراق واحد ناجح على الأقل، نشر المهاجمون أيضًا غرسة متقدمة تسمى QUIC RAT. يدعم هذا البرنامج الخبيث بروتوكولات اتصال متعددة مثل HTTP، وTCP، وDNS، وQUIC، وما إلى ذلك، ويمكنه حقن التعليمات البرمجية الضارة الخاصة به في العمليات الشرعية مثل notepad.exe، وبالتالي إخفاء مسارات نشاطه بشكل أكبر.
تظهر بيانات القياس عن بعد أنه تم ملاحظة محاولات الإصابة في أكثر من 100 دولة. وتشمل المناطق التي تضم أكبر عدد من الأنظمة المتضررة روسيا والبرازيل وتركيا وإسبانيا وألمانيا وفرنسا وإيطاليا والصين. ينتمي حوالي 10% من الأجهزة المتأثرة إلى مؤسسات مختلفة، وتبقى معظم الأجهزة المتبقية في مرحلة جمع البيانات الأولية فقط ولا تتلقى المزيد من حمولات المرحلة الثانية.
ذكرت Kaspersky أن منتجاتها الأمنية يمكنها اكتشاف هذا الهجوم واعتراضه في جوانب متعددة، بما في ذلك تحديد سلوكيات التنزيل المشبوهة المستندة إلى PowerShell، والبرامج الضارة التي يتم تنفيذها من أدلة مؤقتة، وأنشطة حقن التعليمات البرمجية في العمليات المشروعة، وأنماط اتصالات الشبكة الخارجية غير الطبيعية. ويوصي الباحثون بأن تقوم أي منظمة قامت بتثبيت DAEMON Tools بعد 8 أبريل 2026، بإجراء تدقيق شامل للأنظمة ذات الصلة، مع التركيز على التحقق من أنشطة سطر أوامر PowerShell غير الطبيعية والتنفيذ المشبوه الناتج عن الدليل المؤقت. وفي الوقت نفسه، يجب على المؤسسات إعطاء الأولوية لتنفيذ بنية أمان الثقة المعدومة، والحد من الأذونات القابلة للتنفيذ للأدلة المؤقتة، وتحسين المرونة الأمنية الشاملة من خلال استراتيجية دفاعية متعددة الطبقات.
يُظهر حادث سلسلة توريد DAEMON Tools مرة أخرى أن المهاجمين يعملون باستمرار على تحسين أساليب هجومهم ضد سلسلة توريد البرامج، ويجمعون بين التوزيع واسع النطاق والهجمات الدقيقة، ويستخدمون برامج قانونية وجديرة بالثقة كنقطة انطلاق لاختراق بيئات مختلفة. وفي ظل هذا الاتجاه، يجب اعتبار حتى الأدوات البرمجية الشائعة الاستخدام والتي طالما اعتبرت "أمنية" مصادر محتملة للمخاطر، وتحتاج المؤسسات إلى اعتماد إستراتيجيات أمنية أكثر حكمة واستباقية للتعامل مع تهديدات سلسلة التوريد المتزايدة التعقيد.