全球广泛使用的磁盘镜像挂载工具DAEMON Tools，近期遭遇严重供应链投毒攻击，目前攻击仍在持续，波及范围已覆盖100多个国家和地区！据国外安全机构最新披露，自4月8日起，DAEMON Tools官方网站被非法篡改，先后上传了12.5.0.2421至12.5.0.2434等多个恶意版本。这些恶意版本已悄悄感染全球数千台设备，而国内风险也已显现——微步情报局监测显示，国内已有数十家用户不幸感染恶意代码，隐患极大！作为全球主流的磁盘镜像挂载工具，DAEMON Tools被大量个人用户和企业用于挂载ISO、IMG等镜像文件，普及率极高。此次攻击的狡猾之处在于，攻击者篡改了官方安装程序，且所有恶意文件都带有开发商AVB Disc Soft的有效数字签名，极易迷惑用户，让人误以为是官方正规版本。

攻击载荷：

信息采集器envchk.exe：广泛投放，采集MAC、主机名、DNS、进程列表、已安装软件等，用于筛选高价值目标。

极简后门cdg.exe：精准投放至已筛选目标，支持文件下载、shell命令执行及shellcode内存执行。

远控木马QUIC RAT：仅在极少量高价值机器上发现，支持HTTP/UDP/TCP/WSS/QUIC/DNS/HTTP/3多协议通信，可向notepad.exe和conhost.exe注入恶意载荷。

受影响范围：

软件版本：DAEMON Tools 12.5.0.2421 ~ 12.5.0.2434

恶意组件：DTHelper.exe、DiscSoftBusServiceLite.exe、DTShellHlp.exe

默认路径：C:\Program Files\DAEMON Tools Lite\

排查方法：

查询是否安装DAEMON Tools的12.5.0.2421-12.5.0.2434版本

查询网络出口流量中是否含有域名env-check.daemontools.cc的请求

在临时目录C:\Windows\Temp\是否存有文件envchk.exe，cdg.exe，imp.tmp，piyu.exe

处置建议：

卸载、暂停使用DAEMON Tools恶意版本。

在网络侧阻断env-check.daemontools.cc的反连请求。

清除envchk.exe、cdg.exe、cdg.tmp等恶意载荷。

重置系统密码、SSH密钥、Git凭证、API密钥、业务账号等敏感凭证。

（初审 司瑾 复审 李洪波 终审 史晓峰）