Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad RTX TIKUS

RTX TIKUS

Menjelang Mezo pada perisian hasad, Alat Pentadbiran Jauh
Terjemahkan ke

Satu insiden keselamatan yang melibatkan CPUID mendedahkan pengguna kepada perisian berniat jahat melalui laman web rasminya, cpuid.com. Untuk tempoh kurang daripada 24 jam, pelaku ancaman berjaya memanipulasi pautan muat turun untuk mengedarkan versi alat pemantauan perkakasan yang digunakan secara meluas yang dijangkiti.

Pencerobohan itu berlaku antara 9 April jam 15:00 UTC dan 10 April jam 10:00 UTC, di mana pautan pemasang yang sah digantikan secara berkala dengan pelencongan berniat jahat. Yang penting, CPUID mengesahkan bahawa binari asalnya yang ditandatangani kekal utuh, kerana pelanggaran itu berpunca daripada ciri sekunder, pada asasnya API sampingan, yang menyebabkan laman web memaparkan pautan berbahaya secara rawak dan bukannya mengubah perisian teras itu sendiri.

Infrastruktur Berniat Jahat: Domain Penyangak di Sebalik Serangan

Siasatan oleh penyelidik keselamatan siber mengenal pasti beberapa domain yang digunakan untuk mengehos dan menghantar muatan yang ditrojankan. Laman web penyangak ini memainkan peranan penting dalam mengalihkan pengguna yang tidak curiga ke muat turun yang dikompromikan:

  • cahayailmukreatif.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transitopalermo[.]com
  • Vatrobran[.]hr

Domain-domain ini membentuk sebahagian daripada infrastruktur yang lebih luas yang direka untuk menyokong pengedaran perisian hasad dan operasi arahan dan kawalan.

Mekanisme Penghantaran Tersembunyi: Penyalahgunaan Pemuatan Sampingan DLL

Penyerang menggunakan teknik pengelakan terkenal yang dipanggil pemuatan sisi DLL. Pakej berniat jahat diedarkan sebagai arkib ZIP dan pemasang kendiri, setiap satunya mengandungi dua komponen: pustaka boleh laku yang sah dan ditandatangani dan pustaka pautan dinamik penyangak bernama 'CRYPTBASE.dll.'

Dengan mengeksploitasi kepercayaan yang diletakkan dalam binari yang ditandatangani, DLL berniat jahat dimuatkan semasa pelaksanaan, membolehkan pencerobohan rahsia. Sebelum memulakan tindakan selanjutnya, perisian hasad tersebut menjalankan pemeriksaan anti-kotak pasir untuk mengelakkan pengesanan dalam persekitaran analisis. Setelah pemeriksaan ini diluluskan, ia menghubungi pelayan luaran untuk mendapatkan muatan tambahan.

Pelaksanaan STX RAT: Alat Pasca-Eksploitasi yang Serbaguna

Objektif utama kempen ini adalah untuk menggunakan STX RAT, trojan akses jauh berkuasa yang dilengkapi dengan keupayaan pengkomputeran rangkaian maya tersembunyi (HVNC) dan fungsi kecurian data yang meluas.

Perisian hasad ini membolehkan penyerang mengekalkan kawalan berterusan ke atas sistem yang dijangkiti dan melaksanakan pelbagai aktiviti pasca eksploitasi, termasuk:

  • Pelaksanaan dalam memori skrip EXE, DLL, PowerShell dan shellcode
  • Proksi songsang dan terowong rangkaian
  • Interaksi dan pengawasan desktop jauh

Keupayaan sedemikian menjadikan STX RAT amat berbahaya dalam persekitaran individu dan perusahaan.

Pertindihan Kempen: Pautan ke Serangan FileZilla Terdahulu

Analisis mendedahkan bahawa infrastruktur Perintah dan Kawalan (C2) yang digunakan dalam insiden ini sebelum ini dikaitkan dengan kempen berasingan yang melibatkan pemasang FileZilla yang ditrojankan. Penggunaan semula konfigurasi pelayan dan domain komunikasi yang sama menunjukkan pertindihan operasi antara kedua-dua kempen tersebut.

Pengulangan taktik, teknik dan infrastruktur ini memberikan petunjuk berharga untuk pengesanan dan atribusi.

Operasi Jangka Panjang: Garis Masa Kempen 10 Bulan

Siasatan lanjut menunjukkan bahawa pelanggaran CPUID adalah sebahagian daripada kempen yang lebih luas yang bermula pada Julai 2025. Sampel perisian hasad terawal yang diketahui, dikenal pasti sebagai 'superbad.exe,' diperhatikan berkomunikasi dengan pelayan arahan dan kawalan di 95.216.51.236.

Pakar keselamatan menilai bahawa pelaku ancaman itu mungkin berbahasa Rusia dan mungkin bermotivasi dari segi kewangan atau berfungsi sebagai broker akses awal, sebuah entiti yang pakar dalam mendapatkan kedudukan dalam sistem dan menjual akses tersebut kepada penjenayah siber lain.

Penilaian Impak: Jangkauan Global dengan Pelbagai Mangsa

Serangan itu telah menjejaskan lebih 150 mangsa yang disahkan, kebanyakannya pengguna individu. Walau bagaimanapun, organisasi merentasi pelbagai industri juga telah mengalami kompromi, termasuk sektor runcit, pembuatan, perundingan, telekomunikasi dan pertanian.

Secara geografi, majoriti jangkitan telah dikenal pasti di Brazil, Rusia dan China, menunjukkan strategi penargetan yang luas dan oportunistik.

Kelemahan Operasi: Kesilapan Yang Membawa Kepada Pengesanan

Walaupun skala kempen tersebut besar, beberapa kegagalan keselamatan operasi telah menjejaskan keberkesanan penyerang dengan ketara. Penggunaan semula rantaian jangkitan yang sama, muatan STX RAT dan domain arahan dan kawalan daripada kempen terdahulu menjadikan aktiviti tersebut lebih mudah untuk dijejaki dan dikaitkan.

Kekurangan ini menunjukkan kecanggihan yang agak rendah dalam amalan pembangunan dan penggunaan perisian hasad. Hasilnya, pihak pembela dapat mengesan serangan lubang air dengan cepat selepas permulaannya, sekali gus mengehadkan impak keseluruhan dan tempoh pendedahannya.

 

Trending

Paling banyak dilihat

Memuatkan...