Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware RTX RAT

RTX RAT

Mezo -ra Malware, Távoli adminisztrációs eszközök-ben
Fordítás ide:

Egy, a CPUID-t érintő biztonsági incidens rosszindulatú szoftvereknek tette ki a felhasználókat a hivatalos weboldalán, a cpuid.com-on keresztül. Kevesebb mint 24 órán keresztül a támadók sikeresen manipulálták a letöltési linkeket, hogy széles körben használt hardverfigyelő eszközök fertőzött verzióit terjesszék.

A kompromittálás április 9. 15:00 UTC és április 10. 10:00 UTC között történt, melynek során a jogos telepítői linkeket időnként rosszindulatú átirányítások váltották fel. Fontos kiemelni, hogy a CPUID megerősítette, hogy az eredeti aláírt bináris fájljai érintetlenek maradtak, mivel a behatolás egy másodlagos funkcióból, lényegében egy oldalsó API-ból eredt, amely a webhelyen véletlenszerűen megjelenő káros linkeket okozta, ahelyett, hogy magát az alapszoftvert módosította volna.

Kártékony infrastruktúra: Feltörekvő domainek állnak a támadás mögött

A kiberbiztonsági kutatók vizsgálatai során számos olyan domaint azonosítottak, amelyeket a trójai fertőzött fájlok tárolására és kézbesítésére használtak. Ezek a rosszindulatú webhelyek központi szerepet játszottak a gyanútlan felhasználók feltört letöltésekhez való átirányításában:

  • cahayailmukreatif.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transitopalermo[.]com
  • Vatrobran[.]óra

Ezek a domainek egy szélesebb infrastruktúra részét képezték, amelyet a rosszindulatú programok terjesztésének és a parancsnoki és irányítási műveletek támogatására terveztek.

Rejtett kézbesítési mechanizmus: DLL oldalra töltés visszaélés

A támadók egy jól ismert kitérő technikát alkalmaztak, amelyet DLL oldalra töltésnek neveznek. A rosszindulatú csomagokat ZIP archívumként és önálló telepítőként is terjesztették, amelyek mindegyike két komponenst tartalmazott: egy legitim, aláírt futtatható fájlt és egy „CRYPTBASE.dll” nevű hamis dinamikus csatolású függvénytárat.

Az aláírt bináris fájlokba vetett bizalom kihasználásával a rosszindulatú DLL betöltődött a végrehajtás során, lehetővé téve a titkos behatolást. A további műveletek megkezdése előtt a kártevő anti-sandbox ellenőrzéseket hajtott végre, hogy elkerülje az észlelést az elemzési környezetekben. Miután ezek az ellenőrzések sikeresen átmentek, kapcsolatba lépett egy külső szerverrel további hasznos adatok lekérése érdekében.

STX RAT telepítés: Sokoldalú utólagos eszköz a támadások kiaknázására

A kampány végső célja az STX RAT telepítése volt, amely egy nagy teljesítményű, távoli hozzáférésű trójai, rejtett virtuális hálózati számítástechnikai (HVNC) képességekkel és kiterjedt adatlopási funkcionalitással felszerelve.

Ez a rosszindulatú program lehetővé teszi a támadók számára, hogy állandó ellenőrzést tartsanak a fertőzött rendszerek felett, és a kihasználás utáni tevékenységek széles skáláját hajtsák végre, beleértve:

  • EXE, DLL, PowerShell szkriptek és shellkód memóriában történő végrehajtása
  • Fordított proxy és hálózati alagútkezelés
  • Távoli asztali interakció és megfigyelés

Az ilyen képességek különösen veszélyessé teszik az STX RAT-ot mind egyéni, mind vállalati környezetben.

Kampányátfedés: Hivatkozások korábbi FileZilla támadásokra

Az elemzés kimutatta, hogy az incidensben használt Command-and-Control (C2) infrastruktúra korábban egy különálló, a FileZilla trójai telepítőit érintő kampányhoz volt kötve. Azonos szerverkonfigurációk és kommunikációs tartományok újrafelhasználása erősen a két kampány közötti működési átfedésre utal.

A taktikák, technikák és infrastruktúra ismétlése értékes mutatókat szolgáltatott a felderítéshez és a tulajdonításhoz.

Hosszú távú művelet: egy 10 hónapos kampányidővonal

További vizsgálatok arra utalnak, hogy a CPUID-feltörés egy szélesebb körű kampány része, amely 2025 júliusában kezdődött. A legkorábbi ismert rosszindulatú programmintát, amelyet „superbad.exe” néven azonosítottak, egy parancs- és vezérlőszerverrel kommunikálva figyelték meg a 95.216.51.236 címen.

Biztonsági szakértők becslése szerint a kiberfenyegető valószínűleg oroszul beszél, és anyagilag motivált lehet, vagy kezdeti hozzáférés-közvetítőként működik, azaz olyan szervezetként, amely rendszerekbe való belépés megszerzésére és ezen hozzáférés más kiberbűnözőknek való eladására specializálódott.

Hatásvizsgálat: Globális hatás sokszínű áldozatokkal

A támadás több mint 150 megerősített áldozatot érintett, túlnyomórészt egyéni felhasználókat. Ugyanakkor számos iparágban működő szervezetek is szembesültek a fertőzéssel, beleértve a kiskereskedelmet, a gyártást, a tanácsadást, a telekommunikációt és a mezőgazdaságot.

Földrajzilag a fertőzések többségét Brazíliában, Oroszországban és Kínában azonosították, ami széleskörű és opportunista célzási stratégiára utal.

Működési gyengeségek: Az észleléshez vezető hibák

A kampány mértéke ellenére számos működési biztonsági hiba jelentősen aláásta a támadók hatékonyságát. Az azonos fertőzési láncok, STX RAT hasznos adatok és parancs- és irányítási tartományok korábbi kampányokból való újrafelhasználása megkönnyítette a tevékenység nyomon követését és összefüggésbe hozását.

Ezek a hiányosságok a rosszindulatú programok fejlesztési és telepítési gyakorlatának viszonylag alacsony kifinomultságára utalnak. Ennek eredményeként a védők a kezdete után gyorsan képesek voltak észlelni a támadást, korlátozva annak teljes hatását és a kitettségi időablakot.


Felkapott

Biztonsági ellenőrzés szükséges E-mailes átverés

Adathalászat, Spam
Az online biztonság megőrzése érdekében elengedhetetlen az óvatosság a váratlan e-mailek kezelésénél. A kiberbűnözők gyakran álcázzák a rosszindulatú üzeneteket legitim kommunikációként, hogy kihasználják a bizalmat és a sürgősséget. Az úgynevezett „Biztonsági ellenőrzés szükséges” e-mailes átverés ennek a taktikának a kiváló példája. Ezek az e-mailek meggyőző megjelenésük ellenére sem...

Legnézettebb

Betöltés...