RTX RTX
Инцидент със сигурността, включващ CPUID, изложи потребителите на зловреден софтуер чрез официалния уебсайт на компанията, cpuid.com. За период от по-малко от 24 часа, злонамерени лица успешно манипулираха връзки за изтегляне, за да разпространяват заразени версии на широко използвани инструменти за мониторинг на хардуер.
Компрометирането е станало между 9 април в 15:00 UTC и 10 април в 10:00 UTC, по време на което легитимните връзки към инсталатора периодично са били заменяни със злонамерени пренасочвания. Важно е, че CPUID потвърди, че оригиналните подписани двоични файлове са останали непокътнати, тъй като пробивът произтича от вторична функция, по същество страничен API, която е карала уебсайта да показва произволно вредни връзки, вместо да променя самия основен софтуер.
Съдържание
Злонамерена инфраструктура: Измамнически домейни зад атаката
Разследвания на изследователи по киберсигурност идентифицираха няколко домейна, използвани за хостване и доставяне на троянските полезни товари. Тези измамнически уебсайтове изиграха централна роля в пренасочването на нищо неподозиращи потребители към компрометирани файлове за изтегляне:
- cahayailmukreativ.web[.]id
- pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
- transitopalermo[.]com
- Ватробран[.]ч
Тези домейни са били част от по-широка инфраструктура, предназначена да поддържа разпространението на зловреден софтуер и операциите по командване и контрол.
Механизъм за скрита доставка: Злоупотреба със странично зареждане на DLL
Нападателите са използвали добре позната техника за избягване, наречена DLL side-loading. Злонамерените пакети са били разпространявани както като ZIP архиви, така и като самостоятелни инсталатори, всеки от които съдържа два компонента: легитимен, подписан изпълним файл и фалшива динамична библиотека с име „CRYPTBASE.dll“.
Чрез използване на доверието, поставено в подписаните двоични файлове, злонамереният DLL файл е бил зареждан по време на изпълнение, което е позволявало скрито компрометиране. Преди да предприеме по-нататъшни действия, злонамереният софтуер е извършвал анти-пясъчни проверки, за да избегне откриване в аналитични среди. След като тези проверки са били успешни, той се е свързвал с външен сървър, за да извлече допълнителни полезни товари.
Разгръщане на STX RAT: Универсален инструмент след експлоатация
Крайната цел на кампанията беше внедряването на STX RAT, мощен троянски кон за отдалечен достъп, оборудван със скрити възможности за виртуални мрежови изчисления (HVNC) и обширна функционалност за кражба на данни.
Този зловреден софтуер позволява на атакуващите да поддържат постоянен контрол над заразените системи и да изпълняват широк спектър от дейности след експлоатацията, включително:
- Изпълнение в паметта на EXE, DLL, PowerShell скриптове и shellcode
- Обратно проксиране и мрежово тунелиране
- Взаимодействие и наблюдение с отдалечен работен плот
Подобни възможности правят STX RAT особено опасен както в индивидуална, така и в корпоративна среда.
Припокриване на кампании: Връзки към по-ранни атаки срещу FileZilla
Анализът разкри, че инфраструктурата за командване и контрол (C2), използвана в този инцидент, е била преди това свързана с отделна кампания, включваща инсталатори на FileZilla, заразени с троянски коне. Повторното използване на едни и същи сървърни конфигурации и комуникационни домейни силно показва оперативно припокриване между двете кампании.
Това повторение на тактики, техники и инфраструктура предостави ценни показатели за откриване и атрибуция.
Дългосрочна операция: 10-месечна времева линия на кампанията
По-нататъшно разследване показва, че пробивът в CPUID е част от по-широка кампания, започнала през юли 2025 г. Най-ранният известен образец на зловреден софтуер, идентифициран като „superbad.exe“, е наблюдаван да комуникира със сървър за командни и контролни операции на адрес 95.216.51.236.
Експертите по сигурността оценяват, че злонамереният участник вероятно е рускоезичен и може да е финансово мотивиран или да функционира като посредник за първоначален достъп – организация, специализирана в придобиване на опорни точки в системи и продажба на този достъп на други киберпрестъпници.
Оценка на въздействието: Глобален обхват с разнообразни жертви
Атаката е засегнала над 150 потвърдени жертви, предимно индивидуални потребители. Организации от множество индустрии обаче също са били засегнати, включително в секторите на търговията на дребно, производството, консултантските услуги, телекомуникациите и селското стопанство.
Географски погледнато, по-голямата част от инфекциите са идентифицирани в Бразилия, Русия и Китай, което показва широка и опортюнистична стратегия за насочване.
Оперативни слабости: Грешки, довели до разкриване
Въпреки мащаба на кампанията, няколко провала в оперативната сигурност значително подкопаха ефективността на нападателите. Повторното използване на идентични вериги за заразяване, полезни товари на STX RAT и домейни за командване и контрол от по-ранни кампании направи активността по-лесна за проследяване и съпоставяне.
Тези недостатъци предполагат относително ниска сложност в практиките за разработване и внедряване на зловреден софтуер. В резултат на това защитниците успяха да открият атаката тип „watering hole“ бързо след нейното започване, ограничавайки цялостното ѝ въздействие и времетраене на експозиция.
