文章总结： 卡巴斯基披露DAEMONTools遭供应链攻击，官方Windows安装程序（版本12.5.0.2421-2434）被植入恶意载荷，通过篡改组件实现持久化并下载QUICRAT等后门。攻击影响全球百余国家但后续载荷定向投放，疑似中文背景攻击者所为。建议用户隔离受影响主机并执行全盘安全扫描。 综合评分： 79 文章分类： 供应链安全,恶意软件,威胁情报,漏洞分析,网络安全

DAEMON Tools 供应链攻击导致官方安装程序被恶意软件入侵

Rhinoer Rhinoer

犀牛安全

2026年5月12日 00:00 北京

在小说阅读器读本章

去阅读

卡巴斯基实验室的调查结果显示，一种新发现的针对 DAEMON Tools 软件的供应链攻击已经入侵了该软件的安装程序，从而植入了恶意载荷。

卡巴斯基研究人员 Igor Kuznetsov、Georgy Kucherin、Leonid Bezvershenko 和 Anton Kargin表示： “这些安装程序是从 DAEMON Tools 的合法网站分发的，并使用属于 DAEMON Tools 开发人员的数字证书进行签名。”

自 2026 年 4 月 8 日起，安装程序已被植入木马，受影响的版本范围从 12.5.0.2421 到 12.5.0.2434。虽然 DAEMON Tools 也提供 Mac 版本，但卡巴斯基告诉 The Hacker News，只有 Windows 版本受到影响。截至发稿时，供应链攻击仍在进行中。该软件的开发商 AVB Disc Soft 已被告知此次安全漏洞。

具体来说，DAEMON Tools 的三个不同组件已被篡改 –

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

每当这些二进制文件之一被启动时（通常发生在系统启动期间），受感染主机上的植入程序就会被激活。该植入程序旨在向外部服务器（“env-check.daemontools[.]cc”）（一个于 2026 年 3 月 27 日注册的域名）发送 HTTP GET 请求，以接收一个使用“cmd.exe”进程运行的 shell 命令。

• shell 命令则用于下载并运行一系列可执行有效载荷。这些有效载荷包括：envchk.exe，一个用于收集大量系统信息的 .NET 可执行文件。
• cdg.exe 和 cdg.tmp，前者是一个 shellcode 加载器，负责解密第二个文件的内容，并启动一个极简的后门，该后门会联系远程服务器以下载文件、运行 shell 命令并在内存中执行 shellcode 有效载荷。

这家俄罗斯网络安全公司表示，其遥测数据中检测到数千起涉及DAEMON Tools的感染尝试，影响了包括俄罗斯、巴西、土耳其、西班牙、德国、法国、意大利和中国在内的100多个国家的个人和组织。然而，下一阶段的后门程序仅被植入了十几台主机，这表明攻击者采取了有针对性的策略。

后续恶意软件感染的系统已被标记为属于俄罗斯、白俄罗斯和泰国的零售、科研、政府和制造机构。此外，通过后门传播的有效载荷之一是名为 QUIC RAT 的远程访问木马。目前已记录到该 C++ 植入程序被用于攻击唯一受害者：位于俄罗斯的一家教育机构。

卡巴斯基表示：“这种将后门部署到一小部分受感染机器的方式清楚地表明，攻击者意图以有针对性的方式进行感染。然而，他们的意图——是网络间谍活动还是‘大规模猎杀’——目前尚不清楚。”

该恶意软件支持多种命令与控制 (C2) 协议，包括 HTTP、UDP、TCP、WSS、QUIC、DNS 和 HTTP/3，并具备将有效载荷注入合法的“notepad.exe”和“conhost.exe”进程的功能。

目前尚未确定该活动是由任何已知的威胁行为者或组织所为。但根据对所发现痕迹的分析，证据表明这是由讲中文的敌对势力所为。

DAEMON Tools 被攻破是 2026 年上半年软件供应链事件中的最新一起，此前还发生了多起备受瞩目的安全漏洞事件，包括1 月份的eScan、 2 月份的Notepad++和4 月份的CPUID 。

卡巴斯基全球安全技术中心 (Kaspersky GReAT) 高级安全研究员库切林 (Kucherin) 在一份与 Hacker News 分享的声明中表示：“这种性质的攻击绕过了传统的边界防御，因为用户默认信任直接从官方供应商下载的数字签名软件。”

“正因如此，DAEMON Tools攻击在一个月内一直未被察觉。这段时间表明，此次攻击背后的攻击者手段老练，拥有先进的攻击能力。鉴于此次攻击的高度复杂性，对于各组织而言，隔离安装了DAEMON Tools软件的机器，并进行安全扫描以防止恶意活动在企业网络内部进一步扩散，至关重要。”

当被问及此事时，拉脱维亚开发商的一位代表表示，他们“已经注意到该报道，目前正在调查情况”。

发言人补充道：“我们的团队高度重视此事，正在积极评估并解决问题。目前，我们尚无法确认报告中提及的具体细节。但是，我们正在采取一切必要措施，消除任何潜在风险，确保用户安全。一旦有更多经核实的信息，我们将立即发布最新消息。”

信息来源：ThehackerNews

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《DAEMON Tools 供应链攻击导致官方安装程序被恶意软件入侵》