アップデート: この投稿が公開された後、DAEMON Tools 担当者は電子メールで次のように書きました。
問題が特定されてから 12 時間以内に、解決策を実装することができました。現在の調査結果によると、この問題は無料の DAEMON Tools Lite バージョンに限定されており、他の製品には影響しませんでした。すべての DAEMON Tools ユーザーが影響を受けているという主張を裏付ける証拠は特定されておらず、現時点では有料版の顧客への影響は確認できません。現在の分析では、DAEMON Tools Pro および DAEMON Tools Ultra は影響を受けず、完全に安全であることが示されています。
約10の組織にプッシュされた続編のうちの1つは、カスペルスキーが「ミニマリストのバックドア」と表現したものでした。コマンドを実行し、ファイルをダウンロードし、メモリ内でシェルコード ペイロードを実行する機能があるため、感染の検出がより困難になります。
カスペルスキーは、ロシアにある教育機関に属する1台のマシンにQUIC RATとして知られるより複雑なバックドアがインストールされているのを観察したと発表した。初期分析では、notepad.exe および conhost.exe プロセスに負荷を注入することができ、HTTP、UDP、TCP、WSS、QUIC、DNS、HTTP/3 などのさまざまな C2 通信プロトコルをサポートしていることが判明しました。
感染した100の組織は主にロシア、ブラジル、トルコ、スペイン、ドイツ、フランス、イタリア、中国に位置していた。カスペルスキーの攻撃に対する可視性は、製品によって提供されるテレメトリのみに基づいているため、限られています。
カスペルスキーの研究者は次のように書いています。
分析の結果、影響を受けたシステムの 10% が企業および組織に属していることがわかりました。攻撃者は、データ コレクターのペイロードのみを使用して、影響を受けるマシンのほとんどを感染させようとしました。しかし、もう 1 つのより複雑なバックドア ペイロードは、ロシア、ベラルーシ、タイにある政府機関、科学者、製造業者、小売業者に属するわずか 12 台のマシンでのみ観察されました。感染したマシンの少数のサブセットにバックドアが展開された方法は、攻撃者が標的を絞った方法で感染を管理する意図を持っていたことを明確に示しています。しかし、サイバースパイ活動なのか「大物狩り」なのか、彼らの意図は現時点では不明だ。
最近のサプライ チェーン攻撃では、Trivy、Checkmarx、Bitwarden が攻撃されており、オープン ソース リポジトリを通じて入手可能な 150 以上のパッケージが攻撃されています。昨年、このような注目すべき攻撃が少なくとも6件ありました。
デーモン ツールを使用している人は、時間をかけて評判の良いウイルス対策ソフトウェアを使用してすべてのマシンをスキャンする必要があります。 Windows ユーザーは、Kaspersky の投稿で詳しく説明されている侵害の兆候がないかどうかも確認する必要があります。カスペルスキーは、より技術的に高度なユーザーに対して、「特にソースが Temp、AppData、または Public などの公的にアクセス可能なディレクトリから実行される実行可能ファイルである場合、正当なシステム プロセスへの不審なコード インジェクション」を監視することを推奨しています。
