In einer der jüngsten Supply-Chain-Angriffe wurde die beliebte Software Daemon Tools manipuliert, um Schadsoftware über offizielle Installer zu verbreiten. Wie die Sicherheitsfirma Kaspersky in einem ausführlichen Bericht darlegte, begann der Angriff am 8. April und war zum Zeitpunkt der Veröffentlichung noch aktiv. Die Infektion betraf ausschließlich Windows-Versionen des Tools, insbesondere die Builds zwischen 12.5.0.2421 und 12.5.0.2434, die mit einem gültigen Entwicklerzertifikat signiert waren.
Die Angreifer nutzten die offizielle Update-Infrastruktur von Daemon Tools, um die Malware zu verbreiten. Sobald die infizierte Version auf einem System installiert wurde, startete der Schadcode beim Hochfahren des Computers. Ein erster Analysebericht von Kaspersky zeigt, dass die Malware zunächst grundlegende Systeminformationen sammelte – darunter MAC-Adressen, Hostnamen, DNS-Domänen, laufende Prozesse, installierte Software und Systemsprache. Diese Daten wurden anschließend an einen Command-and-Control-Server (C2) übermittelt, der von den Angreifern kontrolliert wurde.
Gezielte Spionage: Wenige Opfer erhielten zusätzliche Payloads
Nach der Erstinfektion wurde nur ein kleiner Kreis von etwa einem Dutzend Systemen mit einer zweiten, deutlich gefährlicheren Schadsoftware nachgeladen. Wie Kaspersky berichtet, betrafen diese gezielten Angriffe vor allem Organisationen aus den Bereichen Einzelhandel, Wissenschaft, Regierung und Fertigungsindustrie. Die selektive Verteilung der zweiten Payload deutet darauf hin, dass die Attacke nicht auf Masseninfektionen, sondern auf hochwertige Ziele ausgerichtet war.
Die Forscher vermuten, dass die Angreifer zunächst eine breite Basis von infizierten Rechnern aufbauten, um dann gezielt nach lohnenden Zielen zu suchen. Die gesammelten Systemdaten könnten dabei geholfen haben, die wertvollsten Opfer zu identifizieren. Solche Angriffe sind besonders tückisch, da sie offizielle Update-Kanäle missbrauchen und damit klassische Sicherheitsmaßnahmen wie Signaturprüfungen umgehen.
Warum Supply-Chain-Angriffe so schwer zu erkennen sind
Supply-Chain-Angriffe wie dieser zielen nicht auf einzelne Anwendungen ab, sondern auf die gesamte Lieferkette – von der Entwicklung über die Bereitstellung bis hin zum Endnutzer. Da die Malware mit einem offiziellen Zertifikat signiert war, konnte sie ungehindert auf infizierten Systemen ausgeführt werden. Selbst Sicherheitslösungen mit Reputationsprüfungen hatten in diesem Fall kaum eine Chance, die Infektion zu erkennen.
Besonders problematisch ist die Tatsache, dass die Angreifer offenbar über Wochen hinweg unentdeckt blieben. Erst durch die Analyse von Kaspersky wurde der Vorfall aufgedeckt. Dies unterstreicht die Bedeutung von detaillierten Log-Analysen und verhaltensbasierten Erkennungsmethoden, die über reine Signaturprüfungen hinausgehen.
Empfehlungen für Nutzer und Unternehmen
Für Nutzer von Daemon Tools empfiehlt sich ein sofortiges Update auf die neueste, als sicher bekannte Version. Da der Hersteller AVB zum Zeitpunkt der Veröffentlichung nicht reagiert hatte, sollten betroffene Systeme zusätzlich auf Anzeichen einer Infektion überprüft werden. Folgende Maßnahmen können helfen, ähnliche Angriffe in Zukunft zu verhindern:
- Verwendung von Software aus vertrauenswürdigen Quellen – nur offizielle Websites oder vertrauenswürdige App-Stores nutzen.
- Implementierung von Application Whitelisting – nur zugelassene Anwendungen dürfen ausgeführt werden.
- Regelmäßige Überprüfung von Log-Dateien – ungewöhnliche Netzwerkaktivitäten oder unbekannte Prozesse frühzeitig erkennen.
- Nutzung von Endpoint Detection and Response (EDR)-Lösungen – diese können verdächtiges Verhalten auch ohne bekannte Signaturen erkennen.
Die Entdeckung dieses Angriffs wirft erneut Fragen zur Sicherheit von Software-Lieferketten auf. Während Hersteller zunehmend auf Transparenz und Sicherheit achten müssen, bleibt die Verantwortung auch bei den Nutzern, ihre Systeme regelmäßig zu aktualisieren und verdächtige Aktivitäten zu überwachen. Supply-Chain-Angriffe wie dieser werden in Zukunft wahrscheinlich weiter zunehmen – eine proaktive Herangehensweise ist daher unerlässlich.
KI-Zusammenfassung
Daemon Tools gibi yaygın disk imaj yazılımlarında tespit edilen arka kapı saldırısı hakkında detaylar. Saldırının nasıl çalıştığını, kimleri hedef aldığını ve korunma yöntemlerini öğrenin.
