الصفحة الرئيسية
Cyber-Security

تأكيد اختراق أدوات ديمون: إصدار خالي من البرمجيات الخبيثة متاح الآن

Cybersecurity Arab
تحذير إصدار DAEMON Tools Lite 12.5.1

أوضحت الشركة في بيان لها: "خلال أقل من 12 ساعة من اكتشاف المشكلة، تمكنا من تنفيذ الحل. بناءً على نتائجنا الأولية، اقتصرت المشكلة على الإصدار المجاني DAEMON Tools Lite ولم تؤثر على منتجاتنا الأخرى."

DAEMON Tools devs confirm breach, release malware-free version

كما أكدت الشركة عدم وجود أدلة تدعم مزاعم تأثر جميع مستخدمي أدوات ديمون، مشيرة إلى عدم قدرتها في هذه المرحلة على تأكيد أي تأثير على عملائها في الإصدارات المدفوعة. وأضافت: "تشير تحليلاتنا الحالية إلى عدم تأثر DAEMON Tools Pro وDAEMON Tools Ultra، وهما آمنان تمامًا."

وفي بيان منفصل، ذكرت الشركة أنها عززت بنيتها التحتية، لكنها لم تتمكن بعد من تحديد هوية المهاجم أو الكشف عن تفاصيل إضافية حول الاختراق، بما في ذلك طريقة الوصول إلى أنظمتها، حيث لا تزال التحقيقات جارية.

تفاصيل الهجوم

أوضحت الشركة في بيانها: "بعد تحقيق داخلي، تم تحديد تدخل غير مصرح به داخل بنيتنا التحتية. ونتيجة لذلك، تأثرت بعض حزم التثبيت داخل بيئة البناء وتم إصدارها بحالة compromising. تم إصدار الإصدار 12.6 من DAEMON Tools Lite، الذي لا يحتوي على الملفات المشبوهة، في 5 مايو."

وأكدت الشركة أن مستخدمي الإصدارات الأخرى من أدوات ديمون، بما في ذلك الإصدارات المدفوعة من DAEMON Tools Lite وDAEMON Tools Ultra وDAEMON Tools Pro، لم يتأثروا بهذا الحادث ويمكنهم الاستمرار في استخدام برامجهم كالمعتاد.

وأوصت الشركة المستخدمين الذين قاموا بتنزيل أو تثبيت الإصدار 12.5.1 (المجاني) من DAEMON Tools Lite منذ 8 أبريل بإلغاء تثبيت التطبيق، وإجراء فحص شامل للنظام باستخدام برامج الأمان أو مكافحة الفيروسات، ثم تثبيت أحدث إصدار من DAEMON Tools Lite (12.6) من الموقع الرسمي.

وأزالت الشركة الإصدار المصاب، الذي لم يعد مدعومًا، وأضافت تحذيرًا يطالب المستخدمين بتثبيت أحدث إصدار من DAEMON Tools Lite.

تفاصيل الهجوم من منظور أمني

كشفت شركة كاسبرسكي للأمن السيبراني يوم الثلاثاء أن المهاجمين قاموا بتلويث مثبتات DAEMON Tools Lite واستخدموها لاختراق آلاف الأنظمة في أكثر من 100 دولة، بعد أن قام المستخدمون بتنزيل البرنامج من الموقع الرسمي منذ 8 أبريل.

بعد تنفيذ المستخدمين للمثبتات المشبوهة والموقعة رقميًا (الإصدارات من 12.5.0.2421 إلى 12.5.0.2434)، نشر الكود الخبيث المضمن في الملفات المصابة حمولة تهدف إلى تثبيت خلفية خفية وتفعيلها عند بدء تشغيل النظام.

كانت المرحلة الأولى من البرمجيات الخبيثة في الهجوم عبارة عن برنامج لسرقة المعلومات الأساسية، حيث جمع بيانات النظام (بما في ذلك اسم المضيف، عنوان MAC، العمليات الجارية، البرامج المثبتة، ولغة النظام) وأرسلها إلى خوادم خاضعة لسيطرة المهاجمين لأغراض تصنيف الضحايا.

استنادًا إلى النتائج، تلقت بعض الأنظمة المصابة مرحلة ثانية، وهي خلفية خفيفة يمكنها تنفيذ الأوامر، وتنزيل الملفات، وتشغيل التعليمات البرمجية مباشرة في الذاكرة. ولاحظت كاسبرسكي في حالة واحدة على الأقل نشر برمجية QUIC RAT الخبيثة، التي يمكنها حقن الكود الخبيث في العمليات الشرعية ودعم بروتوكولات اتصال متعددة.

أثناء التحقيق في الهجوم، وجدت كاسبرسكي أن المنظمات العاملة في قطاعات التجزئة والعلمية والحكومة والتصنيع في روسيا وبيلاروسيا وتايلاند، بالإضافة إلى مستخدمي المنازل في روسيا والبرازيل وتركيا وإسبانيا وألمانيا وفرنسا وإيطاليا والصين، كانوا من بين الضحايا الذين أصيب أجهزتهم بالحمولات الخبيثة.

أكدت الشركة الروسية للأمن السيبراني اليوم، في تحديث للتقرير الأصلي، أن الإصدار 12.6.0 من DAEMON Tools Lite، الذي تم إصداره أمس، لم يعد يظهر أي سلوك خبيث.

قالت كاسبرسكي: "بعد الكشف عن المشكلة، اعترف المطور بالمشكلة وأصدر إصدارًا جديدًا من البرنامج لمعالجتها. الإصدار المحدث DAEMON Tools 12.6.0.2445 لم يعد يظهر أي سلوك خبيث."

إرسال تعليق