RTX आरएटी

CPUID से जुड़ी एक सुरक्षा घटना के कारण इसके आधिकारिक वेबसाइट cpuid.com के माध्यम से उपयोगकर्ताओं को दुर्भावनापूर्ण सॉफ़्टवेयर का खतरा हुआ। 24 घंटे से भी कम समय में, हमलावरों ने डाउनलोड लिंक में हेरफेर करके व्यापक रूप से उपयोग किए जाने वाले हार्डवेयर मॉनिटरिंग टूल के संक्रमित संस्करणों को सफलतापूर्वक वितरित कर दिया।

यह गड़बड़ी 9 अप्रैल को 15:00 UTC से 10 अप्रैल को 10:00 UTC के बीच हुई, जिसके दौरान वैध इंस्टॉलर लिंक को बीच-बीच में दुर्भावनापूर्ण रीडायरेक्ट से बदल दिया गया। महत्वपूर्ण बात यह है कि CPUID ने पुष्टि की कि उसके मूल हस्ताक्षरित बाइनरी सुरक्षित रहे, क्योंकि यह उल्लंघन एक द्वितीयक विशेषता, मूल रूप से एक साइड API, के कारण हुआ था, जिसके कारण वेबसाइट ने मुख्य सॉफ़्टवेयर को बदलने के बजाय बेतरतीब ढंग से हानिकारक लिंक प्रदर्शित किए।

दुर्भावनापूर्ण अवसंरचना: हमले के पीछे मौजूद धोखेबाज डोमेन

साइबर सुरक्षा शोधकर्ताओं द्वारा की गई जांच में कई ऐसे डोमेन की पहचान की गई जिनका उपयोग ट्रोजन युक्त पेलोड को होस्ट करने और वितरित करने के लिए किया जाता था। इन धोखेबाज वेबसाइटों ने अनजान उपयोगकर्ताओं को असुरक्षित डाउनलोड की ओर पुनर्निर्देशित करने में केंद्रीय भूमिका निभाई।

• cahayailmukreatif.web[.]id
• pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
• transitopalermo[.]com
• Vatrobran[.]hr

ये डोमेन मैलवेयर वितरण और कमांड-एंड-कंट्रोल संचालन का समर्थन करने के लिए डिज़ाइन किए गए एक व्यापक बुनियादी ढांचे का हिस्सा थे।

गुप्त वितरण तंत्र: डीएलएल साइड-लोडिंग का दुरुपयोग

हमलावरों ने DLL साइड-लोडिंग नामक एक सुप्रसिद्ध बचाव तकनीक का इस्तेमाल किया। दुर्भावनापूर्ण पैकेजों को ZIP आर्काइव और स्टैंडअलोन इंस्टॉलर दोनों के रूप में वितरित किया गया था, जिनमें से प्रत्येक में दो घटक थे: एक वैध, हस्ताक्षरित निष्पादन योग्य फ़ाइल और 'CRYPTBASE.dll' नामक एक अवैध डायनेमिक लिंक लाइब्रेरी।

हस्ताक्षरित बाइनरी फ़ाइलों पर रखे गए भरोसे का फायदा उठाकर, निष्पादन के दौरान दुर्भावनापूर्ण DLL लोड हो गई, जिससे गुप्त रूप से सुरक्षा में सेंध लगाना संभव हो गया। आगे की कार्रवाई शुरू करने से पहले, मैलवेयर ने विश्लेषण वातावरण में पकड़े जाने से बचने के लिए एंटी-सैंडबॉक्स जांच की। इन जांचों के सफल होने के बाद, इसने अतिरिक्त पेलोड प्राप्त करने के लिए एक बाहरी सर्वर से संपर्क किया।

STX RAT परिनियोजन: एक बहुमुखी पोस्ट-एक्सप्लॉयटेशन टूल

इस अभियान का अंतिम उद्देश्य STX RAT को तैनात करना था, जो एक शक्तिशाली रिमोट एक्सेस ट्रोजन है जिसमें छिपी हुई वर्चुअल नेटवर्क कंप्यूटिंग (HVNC) क्षमताएं और व्यापक डेटा चोरी कार्यक्षमता मौजूद है।

यह मैलवेयर हमलावरों को संक्रमित सिस्टमों पर लगातार नियंत्रण बनाए रखने और शोषण के बाद की गतिविधियों की एक विस्तृत श्रृंखला को अंजाम देने में सक्षम बनाता है, जिनमें शामिल हैं:

• EXE, DLL, PowerShell स्क्रिप्ट और शेलकोड का मेमोरी में निष्पादन
• रिवर्स प्रॉक्सीइंग और नेटवर्क टनलिंग
• दूरस्थ डेस्कटॉप इंटरैक्शन और निगरानी

ऐसी क्षमताओं के कारण STX RAT व्यक्तिगत और उद्यम दोनों ही वातावरणों में विशेष रूप से खतरनाक बन जाता है।

अभियान का ओवरलैप: पहले के FileZilla हमलों से लिंक

विश्लेषण से पता चला कि इस घटना में इस्तेमाल किया गया कमांड-एंड-कंट्रोल (C2) इंफ्रास्ट्रक्चर पहले भी FileZilla के ट्रोजन युक्त इंस्टालर्स से जुड़े एक अलग अभियान में शामिल था। समान सर्वर कॉन्फ़िगरेशन और संचार डोमेन का पुन: उपयोग दोनों अभियानों के बीच परिचालन संबंधी समानता को स्पष्ट रूप से दर्शाता है।

रणनीति, तकनीक और बुनियादी ढांचे की इस पुनरावृत्ति ने पता लगाने और दोषारोपण के लिए मूल्यवान संकेतक प्रदान किए।

दीर्घकालिक अभियान: 10 महीने की अभियान समयरेखा

आगे की जांच से पता चलता है कि CPUID उल्लंघन एक व्यापक अभियान का हिस्सा है जो जुलाई 2025 में शुरू हुआ था। सबसे पहले ज्ञात मैलवेयर नमूना, जिसे 'superbad.exe' के रूप में पहचाना गया है, को 95.216.51.236 पर एक कमांड-एंड-कंट्रोल सर्वर के साथ संचार करते हुए देखा गया था।

सुरक्षा विशेषज्ञों का आकलन है कि हमला करने वाला व्यक्ति संभवतः रूसी भाषी है और वित्तीय रूप से प्रेरित हो सकता है या एक प्रारंभिक एक्सेस ब्रोकर के रूप में काम कर रहा हो सकता है, एक ऐसी इकाई जो सिस्टम में पैठ बनाने और उस एक्सेस को अन्य साइबर अपराधियों को बेचने में माहिर है।

प्रभाव आकलन: विविध पीड़ितों के साथ वैश्विक स्तर पर प्रभाव

इस हमले से 150 से अधिक लोगों के प्रभावित होने की पुष्टि हुई है, जिनमें ज्यादातर व्यक्तिगत उपयोगकर्ता हैं। हालांकि, खुदरा, विनिर्माण, परामर्श, दूरसंचार और कृषि क्षेत्रों सहित कई उद्योगों में संगठनों को भी नुकसान पहुंचा है।

भौगोलिक दृष्टि से, अधिकांश संक्रमण ब्राजील, रूस और चीन में पाए गए हैं, जो एक व्यापक और अवसरवादी लक्ष्यीकरण रणनीति का संकेत देते हैं।

परिचालन संबंधी कमियां: वे त्रुटियां जिनके कारण इनका पता चला

अभियान की व्यापकता के बावजूद, कई परिचालन सुरक्षा विफलताओं ने हमलावरों की प्रभावशीलता को काफी हद तक कम कर दिया। पहले के अभियानों से समान संक्रमण श्रृंखलाओं, STX RAT पेलोड और कमांड-एंड-कंट्रोल डोमेन के पुन: उपयोग ने गतिविधि को ट्रैक करना और सहसंबंधित करना आसान बना दिया।

इन कमियों से पता चलता है कि मैलवेयर के विकास और तैनाती की प्रक्रियाओं में अपेक्षाकृत कम परिष्कार था। परिणामस्वरूप, बचावकर्ता वाटरिंग होल हमले को शुरू होने के तुरंत बाद ही पहचानने में सक्षम थे, जिससे इसका समग्र प्रभाव और जोखिम का समय सीमित हो गया।