RTX RAT
En sikkerhedshændelse, der involverede CPUID, udsatte brugere for skadelig software via deres officielle hjemmeside, cpuid.com. I en periode på mindre end 24 timer manipulerede trusselsaktører med succes downloadlinks for at distribuere inficerede versioner af udbredte hardwareovervågningsværktøjer.
Kompromitteringen fandt sted mellem 9. april kl. 15:00 UTC og 10. april kl. 10:00 UTC, hvor legitime installationslinks periodisk blev erstattet af ondsindede omdirigeringer. Det er vigtigt at bemærke, at CPUID bekræftede, at de originale signerede binære filer forblev intakte, da bruddet stammede fra en sekundær funktion, i bund og grund en side-API, der fik webstedet til tilfældigt at vise skadelige links i stedet for at ændre selve kernesoftwaren.
Indholdsfortegnelse
Ondsindet infrastruktur: Ulovlige domæner bag angrebet
Undersøgelser foretaget af cybersikkerhedsforskere identificerede adskillige domæner, der blev brugt til at hoste og levere de trojanske nyttelast. Disse uærlige websteder spillede en central rolle i at omdirigere intetanende brugere til kompromitterede downloads:
- cahayailmukreatif.web[.]id
- pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
- transitopalermo[.]com
- Vatrobran[.]hr
Disse domæner udgjorde en del af en bredere infrastruktur, der var designet til at understøtte distribution af malware og kommando- og kontroloperationer.
Stealth Delivery Mechanism: Misbrug af sideindlæsning af DLL
Angriberne anvendte en velkendt undvigelsesteknik kaldet DLL-sideloading. De ondsindede pakker blev distribueret som både ZIP-arkiver og separate installationsprogrammer, der hver indeholdt to komponenter: en legitim, signeret eksekverbar fil og et uærligt dynamisk linkbibliotek ved navn 'CRYPTBASE.dll'.
Ved at udnytte den tillid, der var placeret i signerede binære filer, blev den skadelige DLL indlæst under udførelsen, hvilket muliggjorde skjult kompromittering. Før yderligere handlinger blev iværksat, udførte malwaren anti-sandbox-tjek for at undgå detektion i analysemiljøer. Når disse tjek var bestået, kontaktede den en ekstern server for at hente yderligere nyttelast.
STX RAT-implementering: Et alsidigt værktøj efter udnyttelse
Kampagnens endelige mål var at implementere STX RAT, en kraftfuld fjernadgangstrojan udstyret med HVNC-funktioner (hidden virtual network computing) og omfattende datatyverifunktionalitet.
Denne malware gør det muligt for angribere at opretholde vedvarende kontrol over inficerede systemer og udføre en bred vifte af aktiviteter efter udnyttelse, herunder:
- Udførelse af EXE, DLL, PowerShell-scripts og shellcode i hukommelsen
- Omvendt proxy og netværkstunneling
- Interaktion og overvågning på fjernskrivebord
Sådanne funktioner gør STX RAT særligt farlig i både individuelle og virksomhedsmiljøer.
Kampagneoverlap: Links til tidligere FileZilla-angreb
Analysen viste, at den kommando-og-kontrol (C2) infrastruktur, der blev brugt i denne hændelse, tidligere havde været forbundet med en separat kampagne, der involverede trojanere til installation af FileZilla. Genbrugen af de samme serverkonfigurationer og kommunikationsdomæner indikerer stærkt operationel overlapning mellem de to kampagner.
Denne gentagelse af taktikker, teknikker og infrastruktur gav værdifulde indikatorer for detektion og tilskrivning.
Langsigtet drift: En kampagnetidslinje på 10 måneder
Yderligere undersøgelser tyder på, at CPUID-bruddet er en del af en større kampagne, der begyndte i juli 2025. Den tidligst kendte malware-prøve, identificeret som 'superbad.exe', blev observeret i kommunikation med en kommando- og kontrolserver på 95.216.51.236.
Sikkerhedseksperter vurderer, at trusselsaktøren sandsynligvis er russisktalende og kan være økonomisk motiveret eller fungere som en "initial access broker", en enhed, der specialiserer sig i at få fodfæste i systemer og sælge denne adgang til andre cyberkriminelle.
Konsekvensanalyse: Global rækkevidde med forskellige ofre
Angrebet har påvirket mere end 150 bekræftede ofre, primært individuelle brugere. Organisationer på tværs af flere brancher har dog også oplevet angreb, herunder detailhandel, produktion, konsulentvirksomhed, telekommunikation og landbrugssektoren.
Geografisk er størstedelen af infektionerne blevet identificeret i Brasilien, Rusland og Kina, hvilket indikerer en bred og opportunistisk målretningsstrategi.
Operationelle svagheder: Fejl, der førte til opdagelse
Trods kampagnens omfang underminerede adskillige operationelle sikkerhedsfejl angribernes effektivitet betydeligt. Genbrugen af identiske infektionskæder, STX RAT-nyttelaster og kommando- og kontroldomæner fra tidligere kampagner gjorde aktiviteten lettere at spore og korrelere.
Disse mangler tyder på relativt lav sofistikering i udvikling og implementering af malware. Som følge heraf var forsvarerne i stand til at opdage "watering hole"-angrebet hurtigt efter dets igangsættelse, hvilket begrænsede dets samlede effekt og eksponeringsvindue.
