اختراق برامج تثبيت DAEMON Tools ديال Windows فـ هجوم سلسلة التزويد؛ والبرمجيّات الخبيثة نشيطة من شهر أبريل

خلاصة: باحثين أمنيين فـ Kaspersky لقاو هجوم ديال سلسلة التزويد (supply chain) استهدف برامج التثبيت ديال DAEMON Tools فـ بيئة Windows (النسخ من 12.5.0.2421 حتى لـ 12.5.0.2434) ابتداءً من 8 أبريل 2026. هاد البرامج الملغمة، لي مسنية بشهادات رقمية شرعية ديال DAEMON Tools وتوزعات من الموقع الرسمي ديالهم، كتحط واحد البرمجية خبيثة كتواصل مع سيرڤر ديال القيادة والتحكم باش تستقبل أوامر shell. تسجلات آلاف المحاولات ديال الإصابة فـ كتر من 100 دولة، ولكن المهاجم صيفط باب خلفي (backdoor) كـ مرحلة موالية لـ شي 12 جهاز فقط، وهادشي كيبين بلي العملية كانت مستهدفة ومدروسة.

شنو وقع

باحثين أمنيين ديال Kaspersky كتاشفو بلي برامج التثبيت (installers) الخاصة بـ DAEMON Tools، لي متوفرة فالموقع الرسمي ديال الشركة، تخترقات باش توزع برمجيات خبيثة. النسخ ديال Windows لي تقاست كتتراوح بين 12.5.0.2421 و 12.5.0.2434، وبدات عملية التلغيم فـ 8 أبريل 2026. المثير للانتباه هو أن هاد البرامج بقاوت مسنية بشهادات رقمية تابعة لـ مطورين ديال DAEMON Tools، وهادشي خلاها تبان شرعية وموثوقة لأنظمة حماية الأجهزة (endpoint security) وآليات التحقق ديال المستخدمين.

المهاجمين عدلو تلاتة ديال المكونات التنفيذية فـ برنامج DAEMON Tools:

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

فاش كيتنفذ أي واحد من هاد الملفات — وغالباً هادشي كيوقع ملي كيشعل السيستيم — كتنشط واحد البرمجية فجهاز الضحية. هاد البرمجية كتصيفط طلب HTTP GET لواحد السيرڤر خارجي فـ "env-check.daemontools[.]cc" (هاد الدومين تسجل فـ 27 مارس 2026) باش تستقبل أوامر shell لي كتنفذ عن طريق cmd.exe. هاد الأوامر كتيليشارجي وكتشغل حمولات (payloads) تنفيذية منها:

• envchk.exe: ملف تنفيذي ديال .NET كيجمع معلومات مفصلة على السيستيم
• cdg.exe و cdg.tmp: برنامج ديال تحميل الأكواد (shellcode loader) كيفك التشفير وكيشغل باب خلفي (backdoor) صغير عندو القدرة باش يتيليشارجي ملفات، ينفذ أوامر shell، ويخدم shellcode فالميموار
• QUIC RAT: برنامج للتحكم عن بعد (RAT) تلاحِظ أنو تصيفط لـ ضحية وحدة على الأقل

هاد البرمجيات الخبيثة كدعم بزاف ديال بروتوكولات القيادة والتحكم (C2): HTTP و UDP و TCP و WSS و QUIC و DNS و HTTP/3. وفيها حتى خاصية الحقن فالعمليات (process injection) لي كتستهدف بالأساس notepad.exe و conhost.exe.

الإحصائيات والبيانات عن بعد ديال Kaspersky سجلات آلاف المحاولات ديال الإصابة فتجاوزت 100 دولة، منها روسيا، البرازيل، تركيا، إسبانيا، ألمانيا، فرنسا، إيطاليا، والصين. ولكن الباب الخلفي (backdoor) ديال المرحلة الثانية ماتنزل غير فـ 12 جهاز تقريباً، وكلهم تايعين لمؤسسات فـ قطاعات البيع بالتقسيط، القطاع العلمي، الحكومي، والصناعي متواجدة فـ روسيا، بيلاروسيا، والطايلاند. وQUIC RAT تلاحظ بلي تنفذ ضد مؤسسة تعليمية وحدة فـ روسيا.

بالنسبة للنسخة ديال macOS الخاصة بـ DAEMON Tools، راها ماتقاستش. وتم إعلام شركة AVB Disc Soft (المطور اللاتفي للبرنامج) بهاد الاختراق. الهجوم بقى متخفي وما تعاقش بيه لمدة ديال شهر تقريباً قبل ما يتم الاكتشاف ديالو.

الأدلة كتشير بلي فاعل التهديد (threat actor) كيستخدم اللغة الصينية، وخا هاد المهاجم باقا ماتعرفاتش الهوية ديالو ولا ما تنسب لـ حتى مجموعة معروفة حتى لدابا. حسب تقييم Kaspersky، هاد المهاجم كيتعتبر متطور فخدمتو، بالنظر لتعقيد الاختراق والمدة الطويلة لي بقا فيها نشيط بلا ما يكتشفوه.

علاش هادشي مهم

هاد الهجوم كيبين ثغرة خطيرة فـ سلسلة التزويد (supply chain) ديال البرمجيات: برامج التثبيت لي مسنية رقمياً وكنتيليشارجيوها من المواقع الرسمية تقدر تفوت دفاعات الشبكات التقليدية حيت المستخدمين وأنظمة الحماية كيعطيوها ثقة ضمنية ومطلقة. هاد الاستهداف المحدود بالباب الخلفي — لي وصل لـ شي 12 جهاز فقط من أصل آلاف المصابين — كيدل على أن المهاجم دار مرحلة استطلاع (reconnaissance) تبعها اختراق انتقائي (selective compromise)، وهاد التكتيك كيتماشى مع طرق التجسس السيبيراني (cyberespionage) والاختراقات الموجهة.

بالنسبة للـ sysadmins والمدافعين الأمنيين فـ منطقة الشرق الأوسط وشمال إفريقيا (MENA)، الاكتشاف ديال مؤسسات مصابة فقطاعات متعددة بحال التجارة والعلوم والحكومة والصناعة كيأكد بلي رقعة الخطر واسعة. الاعتماد على بروتوكولات C2 متعددة والتنفيذ ديال shellcode ديريكت فالميموار كيصعّب بزاف من عمليات الاكتشاف والاستجابة الأمنية.

هاد الحادث كيتعتبر جزء من سلسلة هجمات كتستهدف سلسلة التزويد، بحال لي وقع مع eScan فـ (يناير 2026)، و Notepad++ فـ (فبراير 2026)، و CPUID فـ (أبريل 2026)، وهادشي كيبين باللي كاين ضغط متواصل ومستمر كيستهدف الشركات المطورة للبرمجيات.

الأنظمة المتضررة و CVEs

• DAEMON Tools (Windows) النسخ من 12.5.0.2421 حتى لـ 12.5.0.2434
  • المكونات المتضررة: DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe

ماكاين حتى شي رقم CVE تعطى لـ هاد الثغرة حتى لـ وقت النشر.

شنو خاصنا نديرو

• نعزلو (Isolate) الأجهزة لي مسطالي فيها DAEMON Tools فـ انتظار نتحققو من النسخة واش مصابة أو لا.
• نديرو فحوصات أمنية (security sweeps) فالشبكة وعلى الأجهزة باش نكتاشفو أي حركة جانبية (lateral movement) ولا أي حمولة (payload) ثانوية تنزلات.
• نحدثو برنامج DAEMON Tools للنسخ لي غتصدر بعد النسخة 12.5.0.2434 غير تأكد شركة AVB Disc Soft بلي تم الترقيع ديال المشكل.
• نراجعو سجلات اتصالات القيادة والتحكم (C2 traffic logs) باش نقلبو على أي اتصال بـ "env-check.daemontools[.]cc" ولا أي دومين آخر كيستعمل البروتوكولات المحددة (HTTP, UDP, TCP, WSS, QUIC, DNS, HTTP/3).
• نراقبو السيستيم من أي عملية حقن (process injection) مشبوهة كتستهدف العمليات ديال notepad.exe و conhost.exe.

أسئلة باقة مفتوحة

• النوايا ديال المهاجم باقة مامعروفاش بوضوح: Kaspersky ما قدراتش تحدد واش هاد العملية الهدف منها التجسس السيبيراني ولا كتقلب على أهداف مالية ("big game hunting").
• شركة AVB Disc Soft المطور للبرنامج ماخرجاتش حتى شي تفاصيل محددة بخصوص وقتاش غيتم الترقيع النهائي أو واش كاين نسخ أخرى ممكن تكون مصابة.
• العدد الدقيق ديال المؤسسات لي تم اختراقها فعلياً، مقارنة مع الأجهزة لي تجاوبات مع بداية الإصابة، ماتمش الإعلان عليه رسمياً.
• مازال ماتحددش فالتقارير واش ناقل الهجوم (attack vector) استعمل بنية تحتية خاصة بـ فرقة ديال مطورين تخترقات، ولا كان كيعني الوصول المباشر لـ بيئة البناء والتوزيع (build/distribution pipeline) ديال البرنامج.

Source

DAEMON Tools Supply Chain Attack Compromises Official Installers with Malware