Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra RTX RUT

RTX RUT

Līdz Mezo. gadam Ļaunprātīga programmatūra, Attālās administrēšanas rīki. gadā
Tulkot uz:

Drošības incidents, kas saistīts ar CPUID, pakļāva lietotājus ļaunprātīgai programmatūrai, izmantojot tā oficiālo vietni cpuid.com. Mazāk nekā 24 stundas apdraudējumu izpildītāji veiksmīgi manipulēja ar lejupielādes saitēm, lai izplatītu plaši izmantotu aparatūras uzraudzības rīku inficētas versijas.

Kompromitēšana notika laikā no 9. aprīļa plkst. 15:00 UTC līdz 10. aprīļa plkst. 10:00 UTC, un šajā laikā likumīgas instalētāja saites periodiski tika aizstātas ar ļaunprātīgām pāradresācijām. Svarīgi ir tas, ka CPUID apstiprināja, ka tā sākotnēji parakstītie binārie faili palika neskarti, jo pārkāpums radās sekundāras funkcijas, būtībā sānu API, dēļ, kas izraisīja vietnes nejaušu kaitīgu saišu rādīšanu, nevis pašas pamatprogrammatūras mainīšanu.

Ļaunprātīga infrastruktūra: uzbrukuma pamatā ir negodīgi domēni

Kiberdrošības pētnieku veiktās izmeklēšanas identificēja vairākus domēnus, kas tika izmantoti, lai mitinātu un piegādātu Trojas zirga upurus. Šīm negodīgajām tīmekļa vietnēm bija galvenā loma neko nenojaušošo lietotāju novirzīšanā uz apdraudētām lejupielādēm:

  • cahayailmukreatif.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transitopalermo[.]com
  • Vatrobran[.]stunda

Šie domēni bija daļa no plašākas infrastruktūras, kas paredzēta ļaunprogrammatūras izplatīšanas un komandvadības operāciju atbalstam.

Slepena piegādes mehānisms: DLL sānu ielādes ļaunprātīga izmantošana

Uzbrucēji izmantoja labi zināmu DLL sānu ielādes metodi. Ļaunprātīgās pakotnes tika izplatītas gan kā ZIP arhīvi, gan atsevišķi instalētāji, katrs no tiem saturēja divus komponentus: likumīgu, parakstītu izpildāmo failu un negodīgu dinamisko saišu bibliotēku ar nosaukumu “CRYPTBASE.dll”.

Izmantojot parakstītajiem binārajiem failiem piešķirto uzticēšanos, ļaunprātīgais DLL tika ielādēts izpildes laikā, nodrošinot slepenu kompromitēšanu. Pirms turpmāku darbību uzsākšanas ļaunprogrammatūra veica pārbaudes pret smilškastēm, lai izvairītos no atklāšanas analīzes vidēs. Kad šīs pārbaudes bija veiksmīgi pabeigtas, tā sazinājās ar ārēju serveri, lai izgūtu papildu vērtumus.

STX RAT izvietošana: daudzpusīgs rīks pēc ekspluatācijas

Kampaņas galvenais mērķis bija izvietot STX RAT — jaudīgu attālās piekļuves Trojas zirgu, kas aprīkots ar slēptām virtuālā tīkla skaitļošanas (HVNC) iespējām un plašu datu zādzības funkcionalitāti.

Šī ļaunprogrammatūra ļauj uzbrucējiem saglabāt pastāvīgu kontroli pār inficētajām sistēmām un veikt plašu darbību klāstu pēc ielaušanās, tostarp:

  • EXE, DLL, PowerShell skriptu un čaulas koda izpilde atmiņā
  • Reversā starpniekservera izmantošana un tīkla tunelēšana
  • Attālā darbvirsmas mijiedarbība un uzraudzība

Šādas spējas padara STX RAT īpaši bīstamu gan individuālā, gan uzņēmuma vidē.

Kampaņas pārklāšanās: saites uz agrākiem FileZilla uzbrukumiem

Analīze atklāja, ka šajā incidentā izmantotā vadības un kontroles (C2) infrastruktūra iepriekš bija saistīta ar atsevišķu kampaņu, kurā bija iesaistīti FileZilla instalētāji ar trojāniem. To pašu serveru konfigurāciju un komunikācijas domēnu atkārtota izmantošana spēcīgi norāda uz abu kampaņu operacionālo pārklāšanos.

Šī taktikas, metožu un infrastruktūras atkārtošanās sniedza vērtīgus rādītājus atklāšanai un attiecināšanai.

Ilgtermiņa operācija: 10 mēnešu kampaņas laika grafiks

Turpmākā izmeklēšana liecina, ka CPUID pārkāpums ir daļa no plašākas kampaņas, kas sākās 2025. gada jūlijā. Agrākais zināmais ļaunprogrammatūras paraugs, kas identificēts kā “superbad.exe”, tika novērots sazinoties ar komandu un vadības serveri vietnē 95.216.51.236.

Drošības eksperti lēš, ka apdraudējuma izvirzītājs, visticamāk, ir krievvalodīgs un, iespējams, ir finansiāli motivēts vai darbojas kā sākotnējās piekļuves starpnieks — vienība, kas specializējas sistēmu iekarošanā un šīs piekļuves pārdošanā citiem kibernoziedzniekiem.

Ietekmes novērtējums: Globāls tvērums ar dažādiem upuriem

Uzbrukums ir skāris vairāk nekā 150 apstiprinātus upurus, galvenokārt individuālus lietotājus. Tomēr apdraudējumu ir piedzīvojušas arī organizācijas dažādās nozarēs, tostarp mazumtirdzniecības, ražošanas, konsultāciju, telekomunikāciju un lauksaimniecības nozarēs.

Ģeogrāfiski lielākā daļa infekciju ir konstatētas Brazīlijā, Krievijā un Ķīnā, kas norāda uz plašu un oportūnistisku mērķauditorijas atlases stratēģiju.

Darbības trūkumi: kļūdas, kas noveda pie atklāšanas

Neskatoties uz kampaņas mērogu, vairākas operacionālās drošības kļūmes būtiski mazināja uzbrucēju efektivitāti. Identisku inficēšanas ķēžu, STX RAT lietderīgo slodzi un komandu un kontroles domēnu atkārtota izmantošana no iepriekšējām kampaņām atviegloja aktivitātes izsekošanu un korelāciju.

Šie trūkumi liecina par relatīvi zemu ļaunprogrammatūras izstrādes un izvietošanas prakses sarežģītību. Tā rezultātā aizstāvji spēja ātri atklāt kritisko uzbrukumu pēc tā uzsākšanas, ierobežojot tā kopējo ietekmi un iedarbības periodu.

 

Tendences

Nepieciešama drošības verifikācija e-pasta...

Pikšķerēšana, Mēstules
Lai saglabātu drošību tiešsaistē, ir svarīgi saglabāt piesardzību, strādājot ar negaidītiem e-pastiem. Kibernoziedznieki bieži maskē ļaunprātīgus ziņojumus kā likumīgu saziņu, lai izmantotu uzticību un steidzamību. Tā sauktā e-pasta krāpniecība “Nepieciešama drošības verifikācija” ir spilgts šīs taktikas piemērs. Šie e-pasti, neskatoties uz to pārliecinošo izskatu, nav saistīti ar likumīgiem...

Visvairāk skatīts

Notiek ielāde...