मोठ्या प्रमाणात वापरल्या जाणाऱ्या डिस्क इमेजिंग सॉफ्टवेअर डेमॉन टूल्सला लक्ष्य करणारा एक मोठा पुरवठा शृंखला हल्ला उघडकीस आला आहे, ज्यामध्ये दुर्भावनापूर्ण इंस्टॉलर एप्रिल 2026 च्या सुरुवातीपासून अधिकृत चॅनेलद्वारे वितरित केले गेले आहेत. कॅस्परस्कीने प्रकाशित केलेल्या निष्कर्षांनुसार, आक्रमणकर्त्यांनी कायदेशीर इंस्टॉलर्सशी तडजोड केली आणि स्वाक्षरी केलेल्या बायनरींमध्ये बॅकडोअर्स एम्बेड केले, ज्यामुळे मालवेअरच्या विश्वासार्हतेनुसार सॉफ्टवेअर अपडेट केले जाऊ शकते.
8 एप्रिल 2026 रोजी मोहीम सुरू झाली, जेव्हा DAEMON टूल्सच्या (12.5.0.2421 ते 12.5.0.2434) अनेक आवृत्त्या ट्रोजनाइज्ड केल्या गेल्या. संक्रमित इंस्टॉलर सॉफ्टवेअरच्या अधिकृत वेबसाइटवर होस्ट केले गेले होते आणि विकसक AVB डिस्क सॉफ्टचे वैध डिजिटल प्रमाणपत्र वापरून स्वाक्षरी केली होती. यामुळे दुर्भावनायुक्त पॅकेजेस अस्सल दिसू लागले, ज्यामुळे यशस्वी संक्रमणाची शक्यता लक्षणीय वाढते. संशोधकांचे म्हणणे आहे की हा हल्ला मे महिन्याच्या सुरुवातीस सक्रिय आहे, पायाभूत सुविधा अद्याप कार्यरत आहेत.
DTHelper.exe, DiscSoftBusServiceLite.exe, आणि DTShellHlp.exe सह अनेक कोर बायनरी, लपविलेले बॅकडोअर समाविष्ट करण्यासाठी सुधारित केले गेले. एकदा स्थापित झाल्यानंतर, हे घटक सिस्टम स्टार्टअपवर स्वयंचलितपणे कार्यान्वित होतात आणि बाह्य कमांड-आणि-नियंत्रण सर्व्हरसह संप्रेषण स्थापित करतात. हल्लेखोरांनी कायदेशीर DAEMON टूल्स वेबसाइटशी साधर्म्य साधण्यासाठी डिझाइन केलेले डोमेन देखील वापरले, पुढे सामान्य रहदारीसह दुर्भावनापूर्ण क्रियाकलापांचे मिश्रण केले. मोहीम सुरू होण्याच्या काही दिवस आधी दुर्भावनापूर्ण डोमेनची नोंदणी करण्यात आली होती, जे काळजीपूर्वक नियोजित ऑपरेशन सुचवते.
हल्ला स्टेज्ड स्ट्रक्चर फॉलो करतो. बहुतेक प्रकरणांमध्ये, संक्रमित प्रणालींना प्रथम माहिती-चोरी पेलोड प्राप्त होतो जे MAC पत्ते, होस्टनावे, स्थापित सॉफ्टवेअर, चालू प्रक्रिया, नेटवर्क कॉन्फिगरेशन आणि सिस्टम लोकेल यासारखे सिस्टम डेटा गोळा करते. ही माहिती नंतर हल्लेखोर-नियंत्रित सर्व्हरवर पाठविली जाते आणि बहुधा तडजोड केलेल्या सिस्टम प्रोफाइल करण्यासाठी आणि पुढील शोषणासाठी त्यांचे मूल्य मूल्यांकन करण्यासाठी वापरली जाते. विशेष म्हणजे, या पेलोडच्या काही भागांमध्ये चिनी भाषेतील तार आहेत, जे संभाव्य चिनी भाषिक धमकी अभिनेत्याकडे इशारा करतात; तथापि, कोणतेही औपचारिक श्रेय दिलेले नाही.
जागतिक स्तरावर हजारो संक्रमण आढळून आले असूनही, संक्रमित मशिन्सच्या फक्त थोड्याच उपसंचांना प्रारंभिक पेलोडच्या पलीकडे अतिरिक्त मालवेअर प्राप्त झाले. हे उच्च-मूल्य लक्ष्य सरकार, उत्पादन, वैज्ञानिक संशोधन आणि किरकोळ क्षेत्रात कार्यरत संस्थांशी संबंधित होते. या तैनातीचे निवडक स्वरूप सूचित करते की ऑपरेशन पूर्णपणे संधीसाधू नव्हते, परंतु त्याऐवजी हेरगिरी किंवा धोरणात्मक घुसखोरी क्रियाकलापांशी सुसंगत लक्ष्यित उद्दिष्टे समाविष्ट होती.
ओळखल्या गेलेल्या दुस-या टप्प्यातील साधनांपैकी एक मिनिमलिस्टिक बॅकडोअर होता जे कमांड्स कार्यान्वित करण्यास, फाइल्स डाउनलोड करण्यास आणि मेमरीमध्ये थेट कोड चालू करण्यास सक्षम होते. कमीतकमी एका पुष्टी झालेल्या प्रकरणात, क्विक रॅट म्हणून ओळखले जाणारे अधिक प्रगत रोपण तैनात केले गेले. हा मालवेअर HTTP, TCP, DNS आणि QUIC सह एकाधिक संप्रेषण प्रोटोकॉलला समर्थन देतो आणि notepad.exe सारख्या कायदेशीर प्रक्रियांमध्ये कोड इंजेक्ट करू शकतो.
टेलीमेट्री डेटा 100 पेक्षा जास्त देशांमध्ये हजारो संसर्गाचे प्रयत्न दर्शवितो. रशिया, ब्राझील, तुर्की, स्पेन, जर्मनी, फ्रान्स, इटली आणि चीनमध्ये सर्वाधिक प्रभावित प्रणालींची नोंद झाली आहे. सुमारे दहा टक्के प्रभावित प्रणाली संस्थांशी संबंधित आहेत, तर बहुतेक प्रणालींना केवळ प्रारंभिक डेटा-संकलन टप्पा प्राप्त झाला.
संशयास्पद पॉवरशेल-आधारित डाउनलोड, तात्पुरत्या निर्देशिकांमधून मालवेअर अंमलबजावणी, कायदेशीर प्रक्रियांमध्ये कोड इंजेक्शन आणि असामान्य आउटबाउंड नेटवर्क ट्रॅफिक यासह, कॅस्परस्की कडील सुरक्षा साधने अनेक टप्प्यांवर दुर्भावनापूर्ण क्रियाकलाप शोधतात. 8 एप्रिल 2026 नंतर जिथे DAEMON टूल्स स्थापित केले गेले होते अशा सिस्टीमचे ऑडिट करण्याचा सल्ला संस्थांना दिला जातो. विशेषत: PowerShell चा समावेश असलेल्या असामान्य कमांड-लाइन क्रियाकलापांसाठी सिस्टीमचे निरीक्षण करण्याची देखील शिफारस केली जाते. याव्यतिरिक्त, संस्थांना शून्य-विश्वास सुरक्षा मॉडेल्सची अंमलबजावणी करण्यासाठी आणि तात्पुरत्या निर्देशिकांमधून अंमलबजावणी प्रतिबंधित करण्यासाठी प्रोत्साहित केले जाते.
द DAEMON साधने तडजोड हल्लेखोर पुरवठा शृंखला डावपेच कसे परिष्कृत करत राहतात, ते मोठ्या प्रमाणात वितरणाला अचूक लक्ष्यीकरणासह एकत्रित करून दाखवते. प्रगत धोक्यांसाठी विश्वासार्ह सॉफ्टवेअर वाढत्या प्रमाणात प्रवेश बिंदू बनत असताना, संस्थांनी अगदी कायदेशीर अनुप्रयोगांना संभाव्य जोखीम वेक्टर म्हणून मानले पाहिजे आणि स्तरित, सक्रिय संरक्षण धोरण अवलंबले पाहिजे.
