虛擬光碟機軟體DAEMON Tools Lite遭植入後門

DAEMON Tools是由AVB Disc Soft所開發的老牌虛擬光碟機與光碟映像檔工具，主要用於在Windows電腦上掛載ISO等光碟映像檔，讓使用者不需實體光碟機也能讀取CD、DVD或Blu-ray內容。該軟體早期常用於遊戲、軟體安裝光碟備份與映像檔管理，產品線包括免費的DAEMON Tools Lite，以及Pro、Ultra等付費版本。

卡巴斯基是在自家產品回傳的偵測資料中察覺異常，發現多臺電腦執行DAEMON Tools Lite後，會連向一個仿冒DAEMON Tools合法下載網域的惡意伺服器，並嘗試下載後續檔案。進一步追查後，卡巴斯基確認相關安裝程式雖來自DAEMON Tools官網、也具備AVB Disc Soft的數位簽章，但內部元件已遭攻擊者竄改，因此判定為供應鏈攻擊。

分析顯示，自4月8日首個遭木馬化的DAEMON Tools Lite版本上線後，已觀察到數千起相關攻擊嘗試，受影響機器分布於100多個國家與地區，主要集中在俄羅斯、巴西、土耳其、西班牙、德國、法國、義大利與中國。其中，約10%的受影響系統屬於企業或組織。

不過，攻擊者並未對所有受影響機器採取相同行動。多數機器只被用來蒐集系統資訊，只有約十多臺機器被進一步部署後門酬載；這些機器屬於位於俄羅斯、白俄羅斯與泰國的政府、科學、製造與零售組織，顯示攻擊者可能是先大規模散布惡意版本，再篩選少數高價值目標。

今年以來資安社群已發現多起供應鏈攻擊行動，從1月的防毒產品eScan、2月的Notepad++，到4月的CPU-Z與5月的DAEMON Tools。

卡巴斯基表示，已聯繫AVB Disc Soft，以便該公司採取修復措施。不過，AVB Disc Soft迄今尚未在官網或部落格發布相關說明。