Slevová nabídka pro více licencí
Databáze hrozeb Malware RTX RAT

RTX RAT

V roce Mezo v roce Malware, Nástroje pro vzdálenou správu
Přeložit do:

Bezpečnostní incident týkající se společnosti CPUID vystavil uživatele škodlivému softwaru prostřednictvím jejích oficiálních webových stránek cpuid.com. Po dobu kratší než 24 hodin útočníci úspěšně manipulovali s odkazy ke stažení, aby distribuovali infikované verze široce používaných nástrojů pro monitorování hardwaru.

K narušení bezpečnosti došlo mezi 9. dubnem 15:00 UTC a 10. dubnem 10:00 UTC, během nichž byly legitimní odkazy z instalačního programu přerušovaně nahrazovány škodlivými přesměrováními. Důležité je, že CPUID potvrdil, že jeho původní podepsané binární soubory zůstaly nedotčené, protože narušení pramenilo ze sekundární funkce, v podstatě vedlejšího API, která způsobovala, že webová stránka náhodně zobrazovala škodlivé odkazy, spíše než aby měnila samotný základní software.

Škodlivá infrastruktura: Za útokem stojí podvodné domény

Vyšetřování provedené výzkumníky v oblasti kybernetické bezpečnosti identifikovalo několik domén používaných k hostování a doručování trojských koní. Tyto podvodné webové stránky hrály klíčovou roli v přesměrování nic netušících uživatelů na napadené soubory ke stažení:

  • cahayailmukreativ.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transitopalermo[.]com
  • Vatrobran[.]hod

Tyto domény tvořily součást širší infrastruktury určené k podpoře distribuce malwaru a operací velení a řízení.

Mechanismus nenápadného doručování: Zneužívání bočního načítání DLL

Útočníci použili známou techniku obcházení zvanou DLL side-loading. Škodlivé balíčky byly distribuovány jako ZIP archivy i samostatné instalační programy, z nichž každý obsahoval dvě komponenty: legitimní, podepsaný spustitelný soubor a falešnou dynamickou linkovou knihovnu s názvem „CRYPTBASE.dll“.

Zneužitím důvěry v podepsané binární soubory byla škodlivá knihovna DLL načtena během spuštění, což umožnilo skryté narušení bezpečnosti. Před zahájením dalších akcí malware prováděl kontroly anti-sandboxu, aby se vyhnul odhalení v analytických prostředích. Jakmile tyto kontroly prošly úspěšně, kontaktoval externí server, aby načetl další datové části.

Nasazení STX RAT: Všestranný nástroj pro následné zneužití

Konečným cílem kampaně bylo nasazení STX RAT, výkonného trojského koně pro vzdálený přístup vybaveného skrytými funkcemi virtuálních síťových výpočtů (HVNC) a rozsáhlými funkcemi pro krádež dat.

Tento malware umožňuje útočníkům udržovat trvalou kontrolu nad infikovanými systémy a provádět širokou škálu aktivit po zneužití, včetně:

  • Spouštění EXE, DLL, PowerShellových skriptů a shellcode v paměti
  • Reverzní proxying a síťové tunelování
  • Interakce a dohled na vzdálené ploše

Díky těmto schopnostem je STX RAT obzvláště nebezpečný jak v individuálním, tak v podnikovém prostředí.

Překrývání kampaní: Odkazy na dřívější útoky FileZilla

Analýza odhalila, že infrastruktura Command-and-Control (C2) použitá v tomto incidentu byla dříve spojena se samostatnou kampaní zahrnující instalační programy FileZilla napadené trojskými koňmi. Opětovné použití stejných konfigurací serverů a komunikačních domén silně naznačuje operační překrývání mezi těmito dvěma kampaněmi.

Toto opakování taktik, technik a infrastruktury poskytlo cenné indikátory pro detekci a atribuci.

Dlouhodobá operace: Desetiměsíční časová osa kampaně

Další vyšetřování naznačuje, že narušení bezpečnosti CPUID je součástí širší kampaně, která začala v červenci 2025. Nejstarší známý vzorek malwaru, identifikovaný jako „superbad.exe“, byl pozorován při komunikaci s velitelským a kontrolním serverem na adrese 95.216.51.236.

Bezpečnostní experti odhadují, že útočník pravděpodobně mluví rusky a může být finančně motivován nebo fungovat jako zprostředkovatel prvotního přístupu, což je subjekt specializující se na získávání opěrných bodů v systémech a prodej tohoto přístupu dalším kyberzločincům.

Posouzení dopadů: Globální dosah s rozmanitými oběťmi

Útok postihl více než 150 potvrzených obětí, převážně individuálních uživatelů. S ohrožením se však setkaly i organizace z různých odvětví, včetně maloobchodu, výroby, poradenství, telekomunikací a zemědělství.

Geograficky byla většina infekcí zjištěna v Brazílii, Rusku a Číně, což naznačuje širokou a oportunistickou strategii cílení.

Provozní slabiny: Chyby, které vedly k odhalení

Navzdory rozsahu kampaně několik selhání provozní bezpečnosti výrazně podkopalo efektivitu útočníků. Opětovné použití identických infekčních řetězců, datových částí STX RAT a domén velení a řízení z dřívějších kampaní usnadnilo sledování a korelaci aktivit.

Tyto nedostatky naznačují relativně nízkou sofistikovanost postupů vývoje a nasazování malwaru. V důsledku toho byli obránci schopni útok typu „watering hole“ odhalit rychle po jeho zahájení, což omezilo jeho celkový dopad a dobu expozice.


Trendy

Vyžadováno bezpečnostní ověření – podvod s e-maily

Phishing, Spam
Pro udržení online bezpečnosti je nezbytné zůstat opatrný při řešení neočekávaných e-mailů. Kyberzločinci často maskují škodlivé zprávy jako legitimní komunikaci, aby zneužili důvěryhodnosti a naléhavosti. Takzvaný e-mailový podvod s názvem „Vyžaduje se bezpečnostní ověření“ je ukázkovým příkladem této taktiky. Tyto e-maily nejsou spojeny s žádnými legitimními společnostmi, organizacemi ani...

Nejvíce shlédnuto

Načítání...