RTX RIUČĖ
Su CPUID susijęs saugumo incidentas atvėrė vartotojams kenkėjišką programinę įrangą per oficialią CPUID svetainę cpuid.com. Mažiau nei 24 valandas kenkėjiškų programų kūrėjai sėkmingai manipuliavo atsisiuntimo nuorodomis, kad platintų užkrėstas plačiai naudojamų aparatinės įrangos stebėjimo įrankių versijas.
Kompromitacija įvyko nuo balandžio 9 d. 15:00 UTC iki balandžio 10 d. 10:00 UTC, o tuo metu teisėtos diegimo programos nuorodos buvo periodiškai pakeičiamos kenkėjiškais peradresavimais. Svarbu tai, kad CPUID patvirtino, jog originalūs pasirašyti dvejetainiai failai liko nepažeisti, nes pažeidimas kilo dėl antrinės funkcijos, iš esmės šalutinės API, kuri privertė svetainę atsitiktinai rodyti kenksmingas nuorodas, o ne pakeisti pačią pagrindinę programinę įrangą.
Turinys
Kenkėjiška infrastruktūra: už atakos slypi nesąžiningi domenai
Kibernetinio saugumo tyrėjų atlikti tyrimai nustatė kelis domenus, kurie buvo naudojami Trojos arklio užkrėstų programų talpinimui ir pristatymui. Šios nesąžiningos svetainės atliko pagrindinį vaidmenį nukreipiant nieko neįtariančius vartotojus į pažeistus atsisiuntimus:
- cahayailmukreatif.web[.]id
- pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
- transitopalermo[.]com
- Vatrobran[.]val.
Šie domenai buvo platesnės infrastruktūros, skirtos kenkėjiškų programų platinimui ir vadovavimo bei kontrolės operacijoms palaikyti, dalis.
Slaptas pristatymo mechanizmas: DLL šoninio įkėlimo piktnaudžiavimas
Užpuolikai panaudojo gerai žinomą DLL šoninio įkėlimo techniką. Kenkėjiški paketai buvo platinami tiek kaip ZIP archyvai, tiek kaip atskiri diegimo failai, kurių kiekvienas turėjo du komponentus: teisėtą, pasirašytą vykdomąjį failą ir nesąžiningą dinaminių nuorodų biblioteką pavadinimu „CRYPTBASE.dll“.
Pasinaudojant pasirašytų dvejetainių failų patikimumu, vykdymo metu buvo įkelta kenkėjiška DLL programa, leidžianti slapta įsilaužti. Prieš imdamasi tolesnių veiksmų, kenkėjiška programa atliko apsaugos nuo smėlio dėžės (anti-smėlio dėžės) patikras, kad nebūtų aptikta analizės aplinkoje. Kai šios patikros buvo sėkmingos, ji susisiekė su išoriniu serveriu, kad gautų papildomų naudingųjų duomenų.
STX RAT diegimas: universalus įrankis po išnaudojimo
Galutinis kampanijos tikslas buvo panaudoti STX RAT – galingą nuotolinės prieigos Trojos arklį, aprūpintą paslėpto virtualaus tinklo skaičiavimo (HVNC) galimybėmis ir plačiomis duomenų vagystės funkcijomis.
Ši kenkėjiška programa leidžia užpuolikams išlaikyti nuolatinę užkrėstų sistemų kontrolę ir vykdyti įvairias veiklas po atakos, įskaitant:
- EXE, DLL, „PowerShell“ scenarijų ir apvalkalinio kodo vykdymas atmintyje
- Atvirkštinis tarpinis serveris ir tinklo tuneliavimas
- Nuotolinis darbalaukio sąveika ir stebėjimas
Dėl tokių galimybių STX RAT yra ypač pavojingas tiek individualioje, tiek įmonės aplinkoje.
Kampanijos sutapimas: nuorodos į ankstesnes „FileZilla“ atakas
Analizė atskleidė, kad šiame incidente naudota komandų ir kontrolės (C2) infrastruktūra anksčiau buvo susieta su atskira kampanija, kurioje dalyvavo trojanizuoti „FileZilla“ diegimo programos. Tų pačių serverio konfigūracijų ir ryšio domenų pakartotinis naudojimas aiškiai rodo operacinį dviejų kampanijų sutapimą.
Šis taktikos, metodų ir infrastruktūros kartojimas suteikė vertingų rodiklių pažeidėjams aptikti ir priskirti pažeidimus.
Ilgalaikė operacija: 10 mėnesių kampanijos laiko juosta
Tolesnis tyrimas rodo, kad CPUID pažeidimas yra platesnės kampanijos, prasidėjusios 2025 m. liepos mėn., dalis. Ankstyviausias žinomas kenkėjiškos programos pavyzdys, identifikuotas kaip „superbad.exe“, buvo pastebėtas bendraujantis su komandų ir valdymo serveriu, adresu 95.216.51.236.
Saugumo ekspertai mano, kad grėsmės skleidėjas greičiausiai yra rusakalbis ir gali būti finansiškai motyvuotas arba veikti kaip pradinės prieigos tarpininkas – subjektas, kuris specializuojasi įsitvirtinant sistemose ir parduodant tą prieigą kitiems kibernetiniams nusikaltėliams.
Poveikio vertinimas: pasaulinis mastas su įvairiomis aukomis
Ataka paveikė daugiau nei 150 patvirtintų aukų, daugiausia individualius vartotojus. Tačiau ataka taip pat paveikė įvairių pramonės šakų organizacijas, įskaitant mažmeninę prekybą, gamybą, konsultavimą, telekomunikacijas ir žemės ūkį.
Geografiškai dauguma infekcijų nustatyta Brazilijoje, Rusijoje ir Kinijoje, o tai rodo plačią ir oportunistinę taikinio strategiją.
Veiklos trūkumai: klaidos, dėl kurių buvo aptikta
Nepaisant kampanijos masto, kelios operacinio saugumo klaidos smarkiai pakenkė užpuolikų efektyvumui. Pakartotinis identiškų užkrėtimo grandinių, STX RAT naudingųjų apkrovų ir komandų bei kontrolės domenų panaudojimas iš ankstesnių kampanijų leido lengviau sekti ir susieti veiklą.
Šie trūkumai rodo gana žemą kenkėjiškų programų kūrimo ir diegimo praktikos sudėtingumą. Dėl to gynėjai sugebėjo greitai aptikti pavojingą ataką po jos pradžios, taip apribodami bendrą poveikį ir poveikio laikotarpį.
