RTX RAT
أدى حادث أمني متعلق بشركة CPUID إلى تعريض المستخدمين لبرمجيات خبيثة عبر موقعها الرسمي cpuid.com. وخلال أقل من 24 ساعة، نجح المهاجمون في التلاعب بروابط التنزيل لتوزيع نسخ مصابة من أدوات مراقبة الأجهزة الشائعة الاستخدام.
وقع الاختراق بين الساعة 15:00 بالتوقيت العالمي المنسق يوم 9 أبريل والساعة 10:00 بالتوقيت العالمي المنسق يوم 10 أبريل، حيث تم استبدال روابط التثبيت الأصلية بشكل متقطع بروابط خبيثة. والجدير بالذكر أن شركة CPUID أكدت أن ملفاتها الثنائية الأصلية الموقعة ظلت سليمة، إذ أن الاختراق ناتج عن ميزة ثانوية، وهي في الأساس واجهة برمجة تطبيقات جانبية، تسببت في عرض الموقع الإلكتروني لروابط ضارة بشكل عشوائي بدلاً من تغيير البرنامج الأساسي نفسه.
جدول المحتويات
البنية التحتية الخبيثة: النطاقات المارقة وراء الهجوم
كشفت تحقيقات باحثي الأمن السيبراني عن عدة نطاقات استُخدمت لاستضافة وتوزيع البرامج الخبيثة. ولعبت هذه المواقع الإلكترونية الخبيثة دورًا محوريًا في إعادة توجيه المستخدمين غير المشتبه بهم إلى ملفات تنزيل مخترقة.
- cahayailmukreatif.web[.]id
- pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
- transitopalermo[.]com
- Vatrobran[.]hr
شكلت هذه النطاقات جزءًا من بنية تحتية أوسع مصممة لدعم توزيع البرامج الضارة وعمليات القيادة والتحكم.
آلية التوصيل الخفي: إساءة استخدام التحميل الجانبي لملفات DLL
استخدم المهاجمون أسلوبًا معروفًا للتهرب يُسمى التحميل الجانبي لملفات DLL. تم توزيع الحزم الخبيثة على شكل ملفات ZIP مضغوطة وملفات تثبيت مستقلة، تحتوي كل منها على مكونين: ملف تنفيذي شرعي وموقع، ومكتبة ارتباط ديناميكي خبيثة تُسمى 'CRYPTBASE.dll'.
باستغلال الثقة الممنوحة للملفات الثنائية الموقعة، تم تحميل مكتبة الارتباط الديناميكي الخبيثة أثناء التشغيل، مما مكّن من الاختراق الخفي. قبل الشروع في أي إجراءات أخرى، أجرى البرنامج الخبيث فحوصات مضادة للبيئات المعزولة لتجنب اكتشافه في بيئات التحليل. بمجرد اجتياز هذه الفحوصات، اتصل بخادم خارجي لاسترداد حمولات إضافية.
نشر برنامج STX RAT: أداة متعددة الاستخدامات لما بعد الاختراق
كان الهدف النهائي للحملة هو نشر برنامج STX RAT، وهو حصان طروادة قوي للوصول عن بعد مزود بقدرات الحوسبة الشبكية الافتراضية المخفية (HVNC) ووظائف سرقة البيانات على نطاق واسع.
يُمكّن هذا البرنامج الخبيث المهاجمين من الحفاظ على سيطرة مستمرة على الأنظمة المصابة وتنفيذ مجموعة واسعة من الأنشطة اللاحقة للاختراق، بما في ذلك:
- تنفيذ ملفات EXE وDLL وبرامج PowerShell النصية و shellcode في الذاكرة
- التوجيه العكسي ونفق الشبكة
- التفاعل والمراقبة عن بُعد عبر سطح المكتب
هذه القدرات تجعل برنامج STX RAT خطيرًا بشكل خاص في كل من البيئات الفردية وبيئات المؤسسات.
تداخل الحملات: روابط لهجمات سابقة على برنامج FileZilla
كشف التحليل أن بنية التحكم والسيطرة المستخدمة في هذه الحادثة كانت مرتبطة سابقًا بحملة منفصلة تضمنت برامج تثبيت خبيثة لبرنامج FileZilla. ويشير استخدام نفس إعدادات الخادم ونطاقات الاتصال بقوة إلى وجود تداخل عملياتي بين الحملتين.
وقد وفر هذا التكرار للتكتيكات والتقنيات والبنية التحتية مؤشرات قيّمة للكشف عن الجرائم وتحديد مسؤوليتها.
عملية طويلة الأمد: جدول زمني لحملة مدتها 10 أشهر
تشير التحقيقات الإضافية إلى أن اختراق CPUID هو جزء من حملة أوسع بدأت في يوليو 2025. وقد لوحظت أول عينة معروفة من البرامج الضارة، والتي تم تحديدها باسم "superbad.exe"، وهي تتصل بخادم تحكم وقيادة على العنوان 95.216.51.236.
يقدر خبراء الأمن أن الجهة الفاعلة التي تشكل التهديد من المحتمل أن تكون ناطقة باللغة الروسية، وقد تكون مدفوعة بدوافع مالية أو تعمل كوسيط وصول أولي، وهو كيان متخصص في الحصول على موطئ قدم في الأنظمة وبيع هذا الوصول إلى مجرمي الإنترنت الآخرين.
تقييم الأثر: نطاق عالمي مع ضحايا متنوعين
أثر الهجوم على أكثر من 150 ضحية مؤكدة، معظمهم من المستخدمين الأفراد. ومع ذلك، فقد تعرضت منظمات في قطاعات متعددة للاختراق أيضاً، بما في ذلك قطاعات البيع بالتجزئة والتصنيع والاستشارات والاتصالات والزراعة.
من الناحية الجغرافية، تم تحديد غالبية الإصابات في البرازيل وروسيا والصين، مما يشير إلى استراتيجية استهداف واسعة وانتهازية.
نقاط الضعف التشغيلية: الأخطاء التي أدت إلى الكشف
على الرغم من ضخامة الحملة، إلا أن العديد من الإخفاقات الأمنية التشغيلية أضعفت بشكل كبير فعالية المهاجمين. وقد سهّل استخدام سلاسل العدوى المتطابقة، وحمولات برامج التجسس STX RAT، ومجالات القيادة والتحكم من حملات سابقة، تتبع النشاط وربطه بالأحداث السابقة.
تشير هذه النقائص إلى مستوى منخفض نسبياً من التطور في ممارسات تطوير البرمجيات الخبيثة ونشرها. ونتيجة لذلك، تمكن المدافعون من اكتشاف هجوم "ثقب الماء" بسرعة بعد بدايته، مما حدّ من تأثيره الإجمالي وفترة انكشافه.
