Kaspersky, Daemon Tools Resmi Web Sitesi Üzerinden Yürütülen Tedarik Zinciri Saldırısını Ortaya Çıkardı

Kaspersky’nin Global Araştırma ve Tahlil Takımı (GReAT), yaygın olarak kullanılan sanal şoför emülasyon yazılımı Daemon Tools’un resmi web sitesini amaç alan faal bir tedarik zinciri saldırısı keşfetti. Ele geçirilen yükleyici, yasal uygulama ile birlikte art kapı (backdoor) ziyanlı yazılımı dağıtarak saldırganların enfekte olan aygıtlarda saldırganların istedikleri rastgele bir komutu çalıştırmasına ve aygıtları uzaktan denetim etmesine imkan tanıyor.

Yapılan son telemetri çalışmaları, siber saldırganların 8 Nisan 2026’dan bu yana modifiye edilmiş yazılımları direkt üreticinin ana alan ismi (domain) üzerinden dağıttığını ortaya koydu. Saldırganların, ziyanlı yazılımı geçerli bir geliştirici dijital sertifikasıyla imzalayarak muvaffakiyetle gizlediği tespit edildi. Kelam konusu makus niyetli müdahale, Daemon Tools’un 12.5.0.2421 sürümünden mevcut en aktüel sürüme kadar olan tüm versiyonlarını etkiliyor. Kaspersky, gerekli tedbirlerin alınması için Daemon Tools’un geliştiricisi AVB Disc Soft’u bilgilendirdi.

Disk emülasyon yazılımları, tabiatı gereği düşük düzeyli sistem erişimine gereksinim duyduğundan, kullanıcılar suram sırasında uygulamaya çoklukla yüksek seviyede yönetici ayrıcalıkları tanımaktadır. Bu itimat sistemi, yazılıma gömülen ziyanlı yazılımın ana işletim sisteminde derin bir yer edinmesine (foothold) ve aygıt bütünlüğünün önemli formda bozulmasına taban hazırlıyor. Tahliller, saldırganların yasal uygulama ikili belgelerini (binaries) manipüle ederek süreç başlangıcında makûs niyetli kod çalıştırdığını ve kalıcılık sağlamak için yasal bir Windows hizmetini istismar ettiğini gösteriyor.

Kaspersky telemetri bilgileri, enfekte olmuş güncellemelerin 100’den fazla ülke ve bölgede global çapta yayıldığına işaret ediyor. Mağdurların büyük çoğunluğu Türkiye, Rusya, Brezilya, İspanya, Almanya, Fransa, İtalya ve Çin’de yer alıyor.

Veriler, etkilenen sistemlerin %10’unun ticari işletmelere ve kurumlara ilişkin olduğunu gösteriyor. Daemon Tools her ne kadar ferdî kullanıcılar ortasında tanınan olsa da kurumsal ortamlardaki varlığı, şirket ağlarını önemli ikincil risklere maruz bırakıyor.

Göz Atın

BMC Yeni Jenerasyon Savunma Sanayi Araçlarını SAHA EXPO 2026’da Tanıttı

ScarCruft tedarik zinciri akınıyla oyun platformunu ele geçirdi

Oyunda kesintisiz performans sunan bilgisayar modelleri

Perakende, bilim, kamu ve imalat bölümlerindeki kuruluşlara ilişkin ondan fazla makineden oluşan dar bir kümede, Kaspersky GReAT grubu saldırganların manuel olarak ek ziyanlı yükler (shellcode injector ve daha evvel tanımlanmamış Uzaktan Erişim Truva Atları – RAT’lar) yerleştirdiğini gözlemledi. Kurbanların spesifik sanayi profili ile komutlarda görülen yazım yanlışları ve tutarsızlıklar, bu takip faaliyetlerinin direkt belli maksatlara yönelik “elle” (hands-on) yürütüldüğünü kanıtlıyor. İmplante edilen zararlılarda Çince lisanına ilişkin kalıntılar bulunsa da kampanya şimdi bilinen rastgele bir tehdit kümesiyle ilişkilendirilmiş değil.

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Georgy Kucherin, mevzuya ait şu açıklamada bulundu: “Kullanıcılar, direkt resmi bir üreticiden indirilen ve dijital olarak imzalanmış yazılımlara kayıtsız koşulsuz güvendiği için bu çeşit bir ihlal klasik hudut savunma düzeneklerini büsbütün devre dışı bırakıyor. Bu durum, Daemon Tools saldırısının yaklaşık bir ay boyunca fark edilmeden devam etmesine neden oldu. Bu müddet zarfı, akının gerisindeki aktörün gelişmiş akın yeteneklerine sahip, sofistike bir yapı olduğunu gösteriyor. İhlalin karmaşıklığı göz önüne alındığında, kurumların bünyesinde Daemon Tools yüklü makineleri izole etmeleri ve kurumsal ağ içinde ziyanlı faaliyetlerin yayılmasını önlemek için kapsamlı güvenlik taramaları yapmaları kritik kıymete sahiptir.”

Kaspersky, kelam konusu tehlikeli yükleyicilerin çalıştırılmasını etkin olarak tespit edip engellemektedir. Kurumlara, ağlarında Daemon Tools Lite varlığını denetlemeleri, etkilenen uç noktaları izole etmeleri ve yetkisiz komut yürütme yahut yanlamasına hareket (lateral movement) faaliyetlerini izlemeleri tavsiye edilmektedir. Kişisel kullanıcıların ise etkilenen uygulamayı derhal kaldırmaları ve sistemlerini derinlemesine bir taramadan geçirmeleri gerekmektedir.

Kaspersky’nin Mart 2026’da yayınladığı çalışma, tedarik zinciri ataklarının geçtiğimiz 12 ay içinde işletmelerin karşılaştığı en yaygın siber tehdit olduğunu, lakin kuruluşların sırf %9’unun bunu öncelikli bir kaygı kaynağı olarak gördüğünü ortaya koymuştu.

Yazılım tedarik zinciri ataklarından kaynaklanan riskleri azaltmak için kuruluşlara şu güvenlik tedbirlerini öneriyor:

• Yazılım tedarik zincirlerini denetleyin: Üçüncü taraf uygulamaların kurumsal ortamlarda kullanımına müsaade vermeden evvel üreticinin güvenlik geçmişini değerlendirin, güvenlik açığı bildirim kayıtlarını inceleyin ve kesim güvenlik standartlarına uyumluluğunu doğrulayın. 
• Sıkı tedarik ve kullanım protokolleri uygulayın: Kullanılan tüm yazılımlar için sistemli güvenlik kontrolleri mecburî hale getirin ve çalışanların kullandığı araçların kurumun iç güvenlik siyasetleri ile olay bildirim gerekliliklerine uygun olduğundan emin olun. 
• Yönetici yetkilerini sonlandırın: En az ayrıcalık prensibi ve sıfır inanç mimarisi üzere önleyici güvenlik yaklaşımlarını uygulayın. Kullanıcı erişim haklarının sonlandırılması, sağlam bir uygulamanın ele geçirilmesi durumunda oluşabilecek tesir alanını değerli ölçüde azaltır. 
• Sürekli altyapı izleme tahlilleri kullanın: Kaspersky Next eser ailesi üzere Genişletilmiş Tespit ve Müdahale (XDR) tahlillerinin kullanılmasını öneriyor. Bu tahliller, ağ trafiğindeki anomalileri yahut emniyetli yazılımlar üzerinden gerçekleştirilen yetkisiz süreçleri gerçek vakitli olarak tespit etmeye yardımcı oluyor. 
• Olay müdahale senaryolarını güncelleyin: Kurumsal güvenlik stratejilerinin tedarik zinciri ihlallerini açık biçimde kapsadığından emin olun. Olay müdahale planları; ele geçirilen üçüncü taraf uygulamaların süratli formda tespit edilmesi, sonlandırılması ve kurum içi sistemlerden ayrıştırılmasına yönelik evvelce tarifli adımları içermelidir.

Kaynak: (BYZHA) Beyaz Haber Ajansı