一款广受欢迎的 Windows 工具正处于新的供应链警报中心
卡巴斯基表示,它在 Daemon Tools 中发现了一个恶意后门。Daemon Tools 是一款长期存在的 Windows 光盘镜像应用。该网络安全公司将其描述为一场广泛且仍在持续的攻击。根据从运行卡巴斯基杀毒软件的电脑上收集的数据,该公司称,这场活动已产生数千次感染尝试,并导致至少十几台遭入侵系统上部署了额外恶意软件。
这一案例符合安全团队日益担忧的一种模式:攻击者入侵受信任的软件分发渠道,一次性触达大量下游用户。与逐个攻破目标不同,供应链行动可以把普通的软件安装或更新变成初始访问点。
卡巴斯基声称发现了什么
据卡巴斯基称,该后门于 4 月 8 日首次被检测到。该公司基于对恶意软件的分析,将这次行动与一个使用中文的组织相关联。它表示,Daemon Tools 中的恶意代码随后被用于在被选中的受害机器上安装更多恶意软件。
卡巴斯基将更广泛的活动描述为范围很大,但也表示后续入侵似乎具有针对性。该更小范围中识别出的受影响组织涉及零售、科研和制造行业,以及政府系统。公司称,这些被针对的组织位于俄罗斯、白俄罗斯和泰国。
这一区别很重要。供应链入侵可能会覆盖极其广泛的范围,但攻击者并不总是会同等对待每一台受感染机器。在这个案例中,卡巴斯基的描述表明,攻击者可能利用一款热门工具带来的广泛暴露,来识别或接近一小批更高价值的目标。
为何供应链攻击仍然难以遏制
供应链事件之所以破坏性极强,是因为它们利用了信任。用户通常会认为从官方厂商网站获取的软件是安全的。管理员也可能会把知名工具列入白名单,或把其安装程序视为常规内容。一旦恶意代码被引入这一路径,防御方就必须重新审视的不只是单台机器,而是整个交付渠道的完整性。
卡巴斯基表示,这次攻击仍在进行中,这对任何最近下载或安装过 Windows 版 Daemon Tools 的人来说都提高了风险。TechCrunch 报道称,其从 Daemon Tools 网站下载了 Windows 安装程序,并在使用 VirusTotal 检查时发现该文件似乎包含后门。目前尚不清楚 macOS 版本是否受到影响,或者其他 Disc Soft 应用是否被攻破。
厂商回应与未解问题
卡巴斯基表示,它已联系 Daemon Tools 背后的公司 Disc Soft,但并未说明开发方最初是否作出回应或采取行动。TechCrunch 引述一名公司代表称,Disc Soft 已知悉该报告并正在调查。该代表表示,公司将此事视为高优先级,但目前还无法确认报告中提到的具体细节。
这留下了几个重要问题未得到解答:恶意代码是如何被植入的、被攻陷的安装程序公开了多久、是否有任何签名或构建系统受到影响,以及被识别出的目标国家之外的用户是否也受到波及。这些答案将决定事件的范围,以及组织需要采取的补救措施。
更大趋势的一部分
这则警告出现在一系列近期攻击之中,这些攻击针对开发者或软件分发基础设施,将恶意代码向下游传播。卡巴斯基将 Daemon Tools 事件描述为近期影响流行软件的一连串供应链事件中的最新一起。对攻击者而言,吸引力显而易见:攻破受信任的软件路径,可以一次性带来规模、持久性和表面上的合理性。
对于防御方来说,教训同样熟悉。声誉本身并不是充分的安全控制,软件来源验证也需要超越品牌认知。允许广泛使用的工具进入终端的企业,现在可能需要核查最近安装的 Daemon Tools,查找后续恶意软件活动,并关注来自卡巴斯基和 Disc Soft 的进一步指导。
在调查更加明朗之前,Daemon Tools 事件再次提醒人们,一个被攻破的安装程序就可能成为更大规模攻击活动的入口。
本文基于 TechCrunch 的报道。阅读原文。
Originally published on techcrunch.com
