Giriş
Yeni ortaya çıkan bir tedarik zinciri saldırısı, DAEMON Tools yazılımının kurulum dosyalarını hedef alarak kötü niyetli bir yük yüklemiştir. Kaspersky’nin bulgularına göre, bu saldırı yazılımın güvenilir web sitesinden indirilen kurulum dosyaları aracılığıyla gerçekleştirilmiştir.
Saldırı Nasıl Çalışıyor?
Saldırı, 8 Nisan 2026 tarihinden itibaren etkinlik göstermektedir ve etkilenen versiyonlar arasında 12.5.0.2421 ile 12.5.0.2434 yer almaktadır. Kurulum dosyalarının üç farklı bileşeni değiştirilmiştir:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Bu bileşenlerden biri başlatıldığında, bir implant etkinleşmektedir. Bu implant, “env-check.daemontools[.]cc” adresine bir HTTP GET isteği göndererek, “cmd.exe” işleminde çalıştırılacak bir komut alır.
Etkilenen Sistemler
Saldırıdan etkilenen sistemler, perakende, bilimsel, hükümet ve üretim alanlarındaki organizasyonları içermektedir. Kaspersky, bu saldırının 100’den fazla ülkede , Türkiye de dahil olmak üzere, bireyleri ve kuruluşları etkilediğini gözlemlemiştir. Bulunan diğer kötü amaçlı yazılım, QUIC RAT adı verilen bir uzaktan erişim trojanıdır ve yalnızca bir kurbanla ilişkilendirilmiştir.
Çözüm ve Korunma
Saldırının incelenmesi, bilgisayar korsanlarının hedefli bir yaklaşım benimsediğini göstermektedir. Bu bağlamda, kuruluşların aşağıdaki adımları atması önemlidir:
- DAEMON Tools yazılımının kurulu olduğu makineleri izole edin.
- Ağ üzerinde güvenlik taraması gerçekleştirerek kötü amaçlı faaliyetlerin yayılmasını engelleyin.
- Güvenlik yamalarını güncel tutun ve sistemlerinizi düzenli olarak kontrol edin.
- Güvenilir yazılım kaynaklarından indirme yapmaya özen gösterin.
Kaspersky’nin yaptığı değerlendirmeye göre, bu tür bir saldırı sistemlerin geleneksel güvenlik önlemlerini aşmaktadır. Dolayısıyla, kuruluşlar için kritik önem taşıyan bu durumdan etkilenmemek için proaktif tedbirlerin alınması gerekmektedir.
