RTX RAT
Sigurnosni incident koji je uključivao CPUID izložio je korisnike zlonamjernom softveru putem njihove službene web stranice, cpuid.com. Tijekom razdoblja kraćeg od 24 sata, akteri prijetnji uspješno su manipulirali poveznicama za preuzimanje kako bi distribuirali zaražene verzije široko korištenih alata za nadzor hardvera.
Do kompromitiranja je došlo između 9. travnja u 15:00 UTC i 10. travnja u 10:00 UTC, tijekom kojih su legitimne poveznice za instalaciju povremeno zamjenjivane zlonamjernim preusmjeravanjima. Važno je da je CPUID potvrdio da su njegove originalno potpisane binarne datoteke ostale netaknute, budući da je kršenje proizašlo iz sekundarne značajke, u biti sporednog API-ja, koji je uzrokovao da web stranica nasumično prikazuje štetne poveznice umjesto da mijenja sam glavni softver.
Sadržaj
Zlonamjerna infrastruktura: Iza napada stoje lažne domene
Istrage istraživača kibernetičke sigurnosti identificirale su nekoliko domena koje se koriste za hostiranje i isporuku trojanskih paketa. Ove lažne web stranice igrale su središnju ulogu u preusmjeravanju ništa ne slutećih korisnika na kompromitirane preuzimanja:
- cahayailmukreativ.web[.]id
- pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
- transitopalermo[.]com
- Vatrobran[.]h
Ove domene bile su dio šire infrastrukture osmišljene za podršku distribuciji zlonamjernog softvera i operacijama zapovijedanja i kontrole.
Mehanizam prikrivene isporuke: Zloupotreba bočnog učitavanja DLL-a
Napadači su koristili dobro poznatu tehniku izbjegavanja pod nazivom bočno učitavanje DLL-a. Zlonamjerni paketi distribuirani su kao ZIP arhive i samostalni instalacijski programi, a svaki je sadržavao dvije komponente: legitimnu, potpisanu izvršnu datoteku i lažnu dinamičku biblioteku povezivanja pod nazivom 'CRYPTBASE.dll'.
Iskorištavanjem povjerenja u potpisane binarne datoteke, zlonamjerni DLL učitan je tijekom izvršavanja, omogućujući prikriveno kompromitiranje. Prije pokretanja daljnjih akcija, zlonamjerni softver provodio je anti-sandbox provjere kako bi izbjegao otkrivanje u analitičkim okruženjima. Nakon što su te provjere uspješno provedene, kontaktirao je vanjski poslužitelj kako bi dohvatio dodatne podatke.
Implementacija STX RAT-a: Svestran alat nakon iskorištavanja
Krajnji cilj kampanje bio je implementacija STX RAT-a, moćnog trojanca za daljinski pristup opremljenog skrivenim mogućnostima virtualnog mrežnog računalstva (HVNC) i opsežnom funkcionalnošću krađe podataka.
Ovaj zlonamjerni softver omogućuje napadačima održavanje trajne kontrole nad zaraženim sustavima i izvršavanje širokog spektra aktivnosti nakon iskorištavanja, uključujući:
- Izvršavanje EXE, DLL, PowerShell skripti i shellcodea u memoriji
- Obrnuto proxyiranje i mrežno tuneliranje
- Interakcija i nadzor na udaljenoj radnoj površini
Takve mogućnosti čine STX RAT posebno opasnim i u individualnim i u poslovnim okruženjima.
Preklapanje kampanje: poveznice na ranije napade FileZilla-e
Analiza je otkrila da je infrastruktura zapovijedanja i upravljanja (C2) korištena u ovom incidentu prethodno bila povezana s odvojenom kampanjom u kojoj su sudjelovali instalatori FileZille zaraženi trojancima. Ponovna upotreba istih konfiguracija poslužitelja i komunikacijskih domena snažno ukazuje na operativno preklapanje između dvije kampanje.
Ovo ponavljanje taktika, tehnika i infrastrukture pružilo je vrijedne pokazatelje za otkrivanje i atribuciju.
Dugoročna operacija: Vremenski okvir kampanje od 10 mjeseci
Daljnja istraga sugerira da je povreda CPUID-a dio šire kampanje koja je započela u srpnju 2025. Najraniji poznati uzorak zlonamjernog softvera, identificiran kao 'superbad.exe', uočen je kako komunicira s naredbenim i kontrolnim poslužiteljem na adresi 95.216.51.236.
Sigurnosni stručnjaci procjenjuju da je napadač vjerojatno ruski govornik te da bi mogao biti financijski motiviran ili funkcionirati kao početni posrednik za pristup, subjekt specijaliziran za stjecanje uporišta u sustavima i prodaju tog pristupa drugim kibernetičkim kriminalcima.
Procjena utjecaja: Globalni doseg s raznolikim žrtvama
Napad je pogodio više od 150 potvrđenih žrtava, pretežno pojedinačnih korisnika. Međutim, organizacije u više industrija također su doživjele kompromise, uključujući maloprodaju, proizvodnju, savjetovanje, telekomunikacije i poljoprivredu.
Geografski gledano, većina infekcija identificirana je u Brazilu, Rusiji i Kini, što ukazuje na široku i oportunističku strategiju ciljanja.
Operativne slabosti: Pogreške koje su dovele do otkrivanja
Unatoč razmjerima kampanje, nekoliko propusta u operativnoj sigurnosti značajno je potkopalo učinkovitost napadača. Ponovna upotreba identičnih lanaca infekcije, STX RAT korisnih podataka i domena za upravljanje i kontrolu iz ranijih kampanja olakšala je praćenje i povezivanje aktivnosti.
Ovi nedostaci ukazuju na relativno nisku sofisticiranost u razvoju i praksama implementacije zlonamjernog softvera. Kao rezultat toga, branitelji su mogli brzo otkriti napad "watering hole" nakon njegovog početka, ograničavajući njegov ukupni utjecaj i prozor izloženosti.
