安全研究人員近日揭露,廣泛使用的虛擬光驅軟件 DAEMON Tools 遭受嚴重供應鏈攻擊,其官方安全程序自 2026 年 4 月初起被植入後門並透過正規渠道分發,波及全球數千台設備。根據卡巴斯基發佈的調查結果,攻擊者入侵了合法安全公司,在官方數字簽名的二進制文件中注入惡意代碼,使惡意程序偽裝成可信的軟件更新進行投遞。調查顯示,這輪攻擊行動始於 2026 年 4 月 8 日,多個版本的 DAEMON Tools(12.
5.0.2421 至 12.5.0.2434)被「投毒」,遭篡改後的安全程序直接託管在軟件官方網站上,並使用開發商 AVB Disc Soft 的有效數字證書進行簽名,大大提升了用戶誤信和中招的概率。研究人員指出,截至 5 月上旬,該攻擊活動仍在持續,對應的惡意基礎設施依舊處於活躍狀態。
攻擊細節與分階段結構
在此次事件中,DTHelper.exe、DiscSoftBusServiceLite.exe、DTShellHlp.exe 等多個核心可執行文件被修改,加入隱藏後門邏輯。一旦軟件被安裝,這些組件會在系統啟動時自動運行,並與外部的命令與控制(C2)服務器建立通訊。攻擊者還註冊了一個與 DAEMON Tools 官方站點名稱極為相似的域名,以此將惡意流量偽裝成正常訪問;該域名在攻擊開始前數天才註冊,顯示出攻擊行動經過精心預謀和籌劃。
從攻擊鏈路來看,此次行動呈現明顯的分階段結構。在大多數受影響設備上,系統首先會接收到一個資訊竊取類的初始載荷,用於收集包括 MAC 地址、主機名、已安裝軟件列表、正在運行的進程、網絡配置以及系統語言/區域設置等在內的多種環境數據。這些數據會被上傳至攻擊者控制的服務器,用於對受感染系統進行畫像與價值評估,從而決定後續是否投放更高級別的工具。 研究人員還在該載荷中發現部分中文字串,暗示攻擊方可能為中文使用者,但目前尚無正式、明確的歸源結論。
白宮監測到的感染嘗試已遍佈全球、數量達數千例,但真正被投放第二階段惡意程序的數目為少數目標主機。這些「優先生標」多屬於政府、製造業、科學研究以及零售等行業組織。這種有限投放、針對特定目標的方式顯示,這並非單純的機械式攻擊,而更接近工具有收穫或戰略滲透意圖的定向行動。在已確認的第二階段工具中,研究人員發現一種極其隱蔽的後門,可在受感染系統上執行命令、下載文件,並將惡意代碼直接注入至記憶體中運行,以降低落地痕跡。
在至少一例成功入侵的案例中,攻擊者還部署了名為 QUIC RAT 的高級植入程序。該惡意程序支持 HTTP、TCP、DNS、QUIC 等多種通訊協議,並可將自身惡意代碼注入至諸如 notepad.exe 等合法進程中,從而進一步隱藏其活動軌跡。 測量數據顯示,目前已在 100 多個國家觀測到相關感染嘗試。受影響系統數量現今的地理範圍包括俄羅斯、以色列、土耳其、西班牙、德國、法國、意大利和中國 等。
其中約一成受影響設備屬於各類組織機構,其餘大多停留在初始的數據收集階段,並未進一步接收第二階段載荷。卡巴斯基表示,其安全產品可在多個環節對本次攻擊進行檢測與攔截,包括識別可疑的基於 PowerShell 的下載行為、從臨時目錄執行的惡意程序、向合法進程注入代碼的活動,以及異常的對外網絡通訊模式等。研究人員建議,僅在 2026 年 4 月 8 日之後安裝過 DAEMON Tools 的組件,應對相關系統開展全面審計,重點檢查是否存在異常的 PowerShell 命令行為以及從臨時目錄觸發的可疑執行
。同時,機構應優先落實零信任安全架構,限制臨時目錄的可執行權限,並透過分層防禦策略提升整體安全韌性。此次 DAEMON Tools 供應鏈事件再次表明,攻擊者正不斷精進針對軟件供應鏈的攻擊手法,將大範圍分發與精準打擊相結合,以合法、可信的軟件為跳板滲透各類環境。在這種趨勢下,即便被長期視為「安全」的常用工具軟件,也需被視作潛在風險源,組織需要以更為審慎和主動的安全策略來應對日益複雜的供應鏈威脅。
📬 免費訂閱 TechRitual 科技精選
每 3 日由 AI 精選 5 篇最重要香港科技新聞,直送你信箱
或者