वर्चुअल ऑप्टिकल ड्राइव सॉफ़्टवेयर DAEMON टूल्स को अप्रैल से आपूर्ति श्रृंखला हमलों का सामना करना पड़ा है, जिससे हजारों उपयोगकर्ता प्रभावित हुए हैं

सुरक्षा शोधकर्ताओं ने हाल ही में खुलासा किया कि व्यापक रूप से उपयोग किए जाने वाले वर्चुअल ऑप्टिकल ड्राइव सॉफ़्टवेयर डेमॉन टूल्स को गंभीर आपूर्ति श्रृंखला हमले का सामना करना पड़ा है। इसके आधिकारिक इंस्टॉलर को अप्रैल 2026 की शुरुआत से पिछले दरवाजे से प्रत्यारोपित किया गया है और औपचारिक चैनलों के माध्यम से वितरित किया गया है, जिससे दुनिया भर के हजारों डिवाइस प्रभावित हुए हैं। कैस्परस्की द्वारा जारी जांच परिणामों के अनुसार, हमलावरों ने वैध इंस्टॉलेशन पैकेज पर आक्रमण किया और आधिकारिक तौर पर डिजिटल रूप से हस्ताक्षरित बाइनरी फ़ाइल में दुर्भावनापूर्ण कोड इंजेक्ट किया, जिससे दुर्भावनापूर्ण प्रोग्राम को एक विश्वसनीय सॉफ़्टवेयर अपडेट के रूप में प्रच्छन्न रूप से वितरित किया जा सके।

जांच से पता चलता है कि हमलों का यह दौर 8 अप्रैल, 2026 को डेमॉन टूल्स (12.5.0.2421 से 12.5.0.2434) के कई संस्करणों के साथ शुरू हुआ था। "जहर" और छेड़छाड़ किए गए इंस्टॉलेशन प्रोग्राम को सीधे सॉफ्टवेयर की आधिकारिक वेबसाइट पर होस्ट किया गया था और डेवलपर एवीबी डिस्क सॉफ्ट के वैध डिजिटल प्रमाणपत्र के साथ हस्ताक्षरित किया गया था, जिससे उपयोगकर्ताओं के अविश्वास और धोखा होने की संभावना काफी बढ़ गई थी। शोधकर्ताओं ने बताया कि मई की शुरुआत तक, हमला अभी भी जारी था और संबंधित दुर्भावनापूर्ण बुनियादी ढांचा अभी भी सक्रिय था।

इस घटना में, कई कोर निष्पादन योग्य फ़ाइलें जैसे DTHelper.exe, डिस्कसॉफ्टबस सर्विसलाइट.exe, और DTShellHlp.exe को संशोधित किया गया था और छिपा हुआ बैकडोर लॉजिक जोड़ा गया था। एक बार सॉफ़्टवेयर स्थापित हो जाने पर, ये घटक सिस्टम बूट पर स्वचालित रूप से चलते हैं और बाहरी कमांड और नियंत्रण (C2) सर्वर के साथ संचार स्थापित करते हैं। हमलावर ने दुर्भावनापूर्ण ट्रैफ़िक को सामान्य पहुंच व्यवहार के रूप में छिपाने के लिए एक डोमेन नाम भी पंजीकृत और सक्रिय किया जो आधिकारिक डेमॉन टूल्स साइट नाम के समान था; डोमेन नाम हमला शुरू होने से कुछ दिन पहले ही पंजीकृत किया गया था, जिससे पता चलता है कि हमला सावधानीपूर्वक पूर्व नियोजित और योजनाबद्ध था।

हमले के लिंक के परिप्रेक्ष्य से, इस ऑपरेशन में एक स्पष्ट चरणबद्ध संरचना है। अधिकांश पीड़ित उपकरणों पर, सिस्टम को पहले एक सूचना-चोरी करने वाला प्रारंभिक पेलोड प्राप्त होता है जिसका उपयोग मैक पते, होस्ट नाम, स्थापित सॉफ़्टवेयर की सूची, चल रही प्रक्रियाओं, नेटवर्क कॉन्फ़िगरेशन और सिस्टम भाषा/क्षेत्र सेटिंग्स सहित विभिन्न पर्यावरणीय डेटा एकत्र करने के लिए किया जाता है। यह डेटा हमलावर द्वारा नियंत्रित सर्वर पर अपलोड किया जाएगा, और संभवतः इसका उपयोग संक्रमित सिस्टम के मूल्य को प्रोफाइल और मूल्यांकन करने के लिए किया जाएगा, जिससे यह निर्णय लिया जाएगा कि भविष्य में उच्च-स्तरीय टूल लॉन्च करना है या नहीं। शोधकर्ताओं को पेलोड में कुछ चीनी अक्षर वाले तार भी मिले, जिससे पता चलता है कि हमलावर एक चीनी उपयोगकर्ता हो सकता है, लेकिन अभी तक कोई औपचारिक और स्पष्ट पता लगाने योग्य निष्कर्ष नहीं है।

हालाँकि दुनिया भर में हजारों संक्रमण प्रयासों का पता चला है, केवल कुछ लक्षित होस्ट को वास्तव में दूसरे चरण के दुर्भावनापूर्ण प्रोग्राम के साथ वितरित किया जाता है। ये "प्राथमिकता लक्ष्य" अधिकतर सरकार, विनिर्माण, वैज्ञानिक अनुसंधान और खुदरा जैसे उद्योग संगठनों से संबद्ध हैं। यह सीमित वितरण और लक्षित ओवरलोडिंग विधि दर्शाती है कि यह एक साधारण अवसरवादी हमला नहीं है, बल्कि खुफिया जानकारी एकत्र करने या रणनीतिक प्रवेश के इरादे से लक्षित कार्रवाई के करीब है।

पुष्टि किए गए दूसरे चरण के उपकरणों में से, शोधकर्ताओं ने एक न्यूनतम बैकडोर पाया जो कमांड निष्पादित कर सकता है, फ़ाइलें डाउनलोड कर सकता है और लैंडिंग निशान को कम करने के लिए पीड़ित सिस्टम पर चलने के लिए दुर्भावनापूर्ण कोड को सीधे मेमोरी में लोड कर सकता है। कम से कम एक सफल उल्लंघन में, हमलावरों ने QUIC RAT नामक एक उन्नत प्रत्यारोपण भी तैनात किया। यह दुर्भावनापूर्ण प्रोग्राम HTTP, TCP, DNS, QUIC इत्यादि जैसे कई संचार प्रोटोकॉल का समर्थन करता है, और अपने स्वयं के दुर्भावनापूर्ण कोड को नोटपैड.exe जैसी वैध प्रक्रियाओं में इंजेक्ट कर सकता है, जिससे इसके गतिविधि ट्रैक और अधिक छिप जाते हैं।

टेलीमेट्री डेटा से पता चलता है कि 100 से अधिक देशों में संबंधित संक्रमण के प्रयास देखे गए हैं। प्रभावित प्रणालियों की सबसे बड़ी संख्या वाले क्षेत्रों में रूस, ब्राजील, तुर्की, स्पेन, जर्मनी, फ्रांस, इटली और चीन शामिल हैं। प्रभावित उपकरणों में से लगभग 10% विभिन्न संगठनों से संबंधित हैं, और बाकी अधिकांश केवल प्रारंभिक डेटा संग्रह चरण में ही रहते हैं और आगे दूसरे चरण के पेलोड प्राप्त नहीं करते हैं।

Kaspersky ने कहा कि उसके सुरक्षा उत्पाद कई पहलुओं में इस हमले का पता लगा सकते हैं और उसे रोक सकते हैं, जिसमें संदिग्ध PowerShell-आधारित डाउनलोड व्यवहार, अस्थायी निर्देशिकाओं से निष्पादित दुर्भावनापूर्ण प्रोग्राम, वैध प्रक्रियाओं में कोड इंजेक्ट करने वाली गतिविधियां और असामान्य बाहरी नेटवर्क संचार पैटर्न की पहचान करना शामिल है। शोधकर्ताओं का सुझाव है कि कोई भी संगठन जिसने 8 अप्रैल, 2026 के बाद डेमॉन टूल्स स्थापित किया है, उसे संबंधित सिस्टम का व्यापक ऑडिट करना चाहिए, जिसमें असामान्य पावरशेल कमांड लाइन गतिविधियों और अस्थायी निर्देशिका से ट्रिगर होने वाले संदिग्ध निष्पादन की जांच पर ध्यान केंद्रित किया जाना चाहिए। साथ ही, संगठनों को शून्य-विश्वास सुरक्षा वास्तुकला के कार्यान्वयन को प्राथमिकता देनी चाहिए, अस्थायी निर्देशिकाओं की निष्पादन योग्य अनुमतियों को सीमित करना चाहिए, और एक स्तरित रक्षा रणनीति के माध्यम से समग्र सुरक्षा लचीलेपन में सुधार करना चाहिए।

यह डेमॉन टूल्स आपूर्ति श्रृंखला घटना एक बार फिर दिखाती है कि हमलावर सॉफ्टवेयर आपूर्ति श्रृंखला के खिलाफ अपने हमले के तरीकों में लगातार सुधार कर रहे हैं, सटीक हमलों के साथ बड़े पैमाने पर वितरण का संयोजन कर रहे हैं, और विभिन्न वातावरणों में प्रवेश करने के लिए स्प्रिंगबोर्ड के रूप में कानूनी और भरोसेमंद सॉफ़्टवेयर का उपयोग कर रहे हैं। इस प्रवृत्ति के तहत, यहां तक ​​कि आमतौर पर उपयोग किए जाने वाले सॉफ़्टवेयर टूल जिन्हें लंबे समय से "सुरक्षा" माना जाता है, उन्हें जोखिम के संभावित स्रोत के रूप में माना जाना चाहिए, और संगठनों को तेजी से जटिल आपूर्ति श्रृंखला खतरों से निपटने के लिए अधिक विवेकपूर्ण और सक्रिय सुरक्षा रणनीतियों को अपनाने की आवश्यकता है।