RTX RAT
CPUID-ga seotud turvaintsident paljastas kasutajad pahavarale selle ametliku veebisaidi cpuid.com kaudu. Vähem kui 24 tunni jooksul manipuleerisid pahatahtlikud isikud edukalt allalaadimislinkidega, et levitada laialdaselt kasutatavate riistvara jälgimistööriistade nakatunud versioone.
Ohtlik intsident leidis aset 9. aprilli kella 15.00 UTC ja 10. aprilli kella 10.00 UTC vahel, mille jooksul asendati aeg-ajalt seaduslikke installija linke pahatahtlike ümbersuunamistega. Oluline on see, et CPUID kinnitas, et selle algsed allkirjastatud binaarfailid jäid puutumata, kuna rikkumine tulenes teisesest funktsioonist, sisuliselt külgmisest API-st, mis põhjustas veebisaidi kahjulike linkide juhuslikku kuvamist, mitte aga põhitarkvara enda muutmist.
Sisukord
Pahatahtlik infrastruktuur: rünnaku taga olevad petturlikud domeenid
Küberjulgeoleku uurijate uuringud tuvastasid mitu domeeni, mida kasutati troojalastega nakatunud sisu majutamiseks ja edastamiseks. Need petturlikud veebisaidid mängisid keskset rolli pahaaimamatute kasutajate ümbersuunamisel ohustatud allalaadimistele:
- cahayailmukreatif.web[.]id
- pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
- transitopalermo[.]com
- Vatrobran[.]tund
Need domeenid moodustasid osa laiemast infrastruktuurist, mis oli loodud pahavara levitamise ja juhtimis- ja kontrollioperatsioonide toetamiseks.
Salajane edastusmehhanism: DLL-i külglaadimise kuritarvitamine
Ründajad kasutasid tuntud DLL-ide külglaadimise tehnikat. Pahatahtlikud paketid levitati nii ZIP-arhiividena kui ka eraldiseisvate installifailidena, millest igaüks sisaldas kahte komponenti: legitiimset, allkirjastatud käivitatavat faili ja petturlikku dünaamilise lingi teeki nimega „CRYPTBASE.dll”.
Kasutades ära allkirjastatud binaarfailidele pandud usaldust, laaditi pahatahtlik DLL käivitamise ajal, mis võimaldas varjatud ohtu seada. Enne edasiste toimingute alustamist viis pahavara läbi liivakastivastaseid kontrolle, et vältida avastamist analüüsikeskkondades. Kui need kontrollid olid läbitud, võttis pahavara ühendust välise serveriga, et hankida täiendavaid andmeid.
STX RAT-i juurutamine: mitmekülgne järelkasutustööriist
Kampaania lõppeesmärk oli juurutada STX RAT, võimas kaugjuurdepääsuga trooja, mis on varustatud peidetud virtuaalse võrguarvutuse (HVNC) võimalustega ja ulatusliku andmevarguse funktsiooniga.
See pahavara võimaldab ründajatel säilitada püsivat kontrolli nakatunud süsteemide üle ja teostada mitmesuguseid rünnakujärgseid tegevusi, sealhulgas:
- EXE-, DLL-, PowerShelli skriptide ja shellcode'i mälusisene käivitamine
- Pöördproksimine ja võrgu tunneldamine
- Kaugtöölaua suhtlus ja jälgimine
Sellised võimed muudavad STX RATi eriti ohtlikuks nii individuaalses kui ka ettevõtte keskkonnas.
Kampaania kattumine: lingid varasematele FileZilla rünnakutele
Analüüs näitas, et selles intsidendis kasutatud juhtimis- ja kontrolliinfrastruktuur (C2) oli varem seotud eraldi kampaaniaga, mis hõlmas FileZilla troojalaste installijaid. Samade serverikonfiguratsioonide ja sidedomeenide taaskasutamine viitab tugevalt kahe kampaania operatiivsele kattumisele.
See taktikate, tehnikate ja infrastruktuuri kordamine andis väärtuslikke näitajaid avastamiseks ja omistamiseks.
Pikaajaline operatsioon: 10-kuuline kampaania ajajoon
Edasine uurimine viitab sellele, et CPUID-i rikkumine on osa laiemast kampaaniast, mis algas 2025. aasta juulis. Varaseim teadaolev pahavara näidis, mis identifitseeriti kui „superbad.exe”, suheldi käsklus- ja kontrollserveriga aadressil 95.216.51.236.
Turvaeksperdid hindavad, et ohutegija on tõenäoliselt venekeelne ning võib olla rahaliselt motiveeritud või tegutseda esmase juurdepääsu vahendajana, mis on spetsialiseerunud süsteemides jalge alla saamisele ja selle juurdepääsu müümisele teistele küberkurjategijatele.
Mõju hindamine: globaalne ulatus ja mitmekesised ohvrid
Rünnak on mõjutanud enam kui 150 kinnitatud ohvrit, peamiselt üksikkasutajaid. Samas on ohtu sattunud ka organisatsioonid erinevates tööstusharudes, sealhulgas jaekaubandus-, tootmis-, konsultatsiooni-, telekommunikatsiooni- ja põllumajandussektoris.
Geograafiliselt on enamik nakkusi tuvastatud Brasiilias, Venemaal ja Hiinas, mis viitab laiale ja oportunistlikule sihtimisstrateegiale.
Operatiivsed nõrkused: avastamisele viinud vead
Vaatamata kampaania ulatusele õõnestasid mitmed operatiivsed turvavead ründajate tõhusust märkimisväärselt. Varasematest kampaaniatest pärit identsete nakkusahelate, STX RAT-i kasulike koormuste ja juhtimisdomeenide taaskasutamine muutis tegevuse jälgimise ja korreleerimise lihtsamaks.
Need puudused viitavad pahavara arendamise ja juurutamise tavade suhteliselt madalale keerukusele. Seetõttu suutsid kaitsjad rünnaku kiiresti pärast selle algatamist tuvastada, piirates selle üldist mõju ja kokkupuuteaega.
