RTX-RATTE
En sikkerhetshendelse som involverte CPUID eksponerte brukere for skadelig programvare via deres offisielle nettsted, cpuid.com. I en periode på under 24 timer manipulerte trusselaktører nedlastingslenker for å distribuere infiserte versjoner av mye brukte maskinvareovervåkingsverktøy.
Innbruddet skjedde mellom 9. april klokken 15:00 UTC og 10. april klokken 10:00 UTC, der legitime installasjonslenker med jevne mellomrom ble erstattet med ondsinnede omdirigeringer. Viktigere er det at CPUID bekreftet at de opprinnelige signerte binærfilene forble intakte, ettersom innbruddet stammet fra en sekundær funksjon, i hovedsak et side-API, som forårsaket at nettstedet tilfeldig viste skadelige lenker i stedet for å endre selve kjerneprogramvaren.
Innholdsfortegnelse
Ondsinnet infrastruktur: Ulovlige domener bak angrepet
Undersøkelser utført av forskere innen nettsikkerhet identifiserte flere domener som ble brukt til å være vert for og levere de trojanske nyttelastene. Disse useriøse nettstedene spilte en sentral rolle i å omdirigere intetanende brukere til kompromitterte nedlastinger:
- cahayailmukreatif.web[.]id
- pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
- transitopalermo[.]com
- Vatrobran[.]hr
Disse domenene var en del av en bredere infrastruktur som var utformet for å støtte distribusjon av skadelig programvare og kommando- og kontrolloperasjoner.
Skjult leveringsmekanisme: Misbruk av DLL-sidelasting
Angriperne brukte en velkjent unnvikelsesteknikk kalt DLL-sidelasting. De skadelige pakkene ble distribuert som både ZIP-arkiver og frittstående installasjonsprogrammer, som hver inneholdt to komponenter: en legitim, signert kjørbar fil og et falskt dynamisk lenkebibliotek kalt «CRYPTBASE.dll».
Ved å utnytte tilliten som var plassert i signerte binærfiler, ble den skadelige DLL-en lastet inn under kjøring, noe som muliggjorde skjult kompromittering. Før ytterligere handlinger ble iverksatt, utførte skadevaren anti-sandkasse-kontroller for å unngå deteksjon i analysemiljøer. Når disse kontrollene var bestått, kontaktet den en ekstern server for å hente ytterligere nyttelaster.
STX RAT-distribusjon: Et allsidig verktøy etter utnyttelse
Det endelige målet med kampanjen var å distribuere STX RAT, en kraftig trojaner for fjerntilgang utstyrt med funksjoner for skjult virtuell nettverksdatabehandling (HVNC) og omfattende funksjonalitet for datatyveri.
Denne skadelige programvaren gjør det mulig for angripere å opprettholde vedvarende kontroll over infiserte systemer og utføre en rekke aktiviteter etter utnyttelse, inkludert:
- Utførelse av EXE-, DLL-, PowerShell-skript og skallkode i minnet
- Omvendt proxy og nettverkstunneling
- Ekstern skrivebordsinteraksjon og overvåking
Slike funksjoner gjør STX RAT spesielt farlig i både individuelle og bedriftsmiljøer.
Kampanjeoverlapping: Lenker til tidligere FileZilla-angrep
Analysen viste at kommando-og-kontroll-infrastrukturen (C2) som ble brukt i denne hendelsen, tidligere hadde vært knyttet til en separat kampanje som involverte trojanere som installerte FileZilla. Gjenbruk av de samme serverkonfigurasjonene og kommunikasjonsdomenene indikerer sterkt operasjonell overlapping mellom de to kampanjene.
Denne repetisjonen av taktikker, teknikker og infrastruktur ga verdifulle indikatorer for deteksjon og tilskrivning.
Langsiktig drift: En 10-måneders kampanjetidslinje
Videre undersøkelser tyder på at CPUID-bruddet er en del av en større kampanje som startet i juli 2025. Den tidligste kjente skadevareeksemplet, identifisert som «superbad.exe», ble observert mens det kommuniserte med en kommando- og kontrollserver på 95.216.51.236.
Sikkerhetseksperter vurderer at trusselaktøren sannsynligvis er russisktalende og kan være økonomisk motivert eller fungere som en «initial access megler», en enhet som spesialiserer seg på å få fotfeste i systemer og selge denne tilgangen til andre nettkriminelle.
Konsekvensutredning: Global rekkevidde med ulike ofre
Angrepet har rammet mer enn 150 bekreftede ofre, hovedsakelig individuelle brukere. Imidlertid har også organisasjoner på tvers av flere bransjer opplevd sikkerhetsbrudd, inkludert detaljhandel, produksjon, konsulentvirksomhet, telekommunikasjon og landbruk.
Geografisk sett er de fleste infeksjonene identifisert i Brasil, Russland og Kina, noe som indikerer en bred og opportunistisk målrettingsstrategi.
Driftssvakheter: Feil som førte til oppdagelse
Til tross for omfanget av kampanjen, undergravde flere operasjonelle sikkerhetsfeil angripernes effektivitet betydelig. Gjenbruk av identiske infeksjonskjeder, STX RAT-nyttelaster og kommando- og kontrolldomener fra tidligere kampanjer gjorde aktiviteten enklere å spore og korrelere.
Disse manglene tyder på relativt lav sofistikasjon i utvikling og distribusjon av skadelig programvare. Som et resultat var forsvarerne i stand til å oppdage vannhullsangrepet raskt etter at det ble startet, noe som begrenset den totale effekten og eksponeringsvinduet.
