RTX RAT

CPUID सँग सम्बन्धित एउटा सुरक्षा घटनाले प्रयोगकर्ताहरूलाई यसको आधिकारिक वेबसाइट, cpuid.com मार्फत दुर्भावनापूर्ण सफ्टवेयरको सम्पर्कमा ल्यायो। २४ घण्टा भन्दा कम समयको लागि, धम्की दिने व्यक्तिहरूले व्यापक रूपमा प्रयोग हुने हार्डवेयर निगरानी उपकरणहरूको संक्रमित संस्करणहरू वितरण गर्न डाउनलोड लिङ्कहरूलाई सफलतापूर्वक हेरफेर गरे।

सम्झौता अप्रिल ९ मा १५:०० UTC र अप्रिल १० मा १०:०० UTC को बीचमा भएको थियो, जसको अवधिमा वैध स्थापनाकर्ता लिङ्कहरूलाई बेलाबेलामा दुर्भावनापूर्ण रिडिरेक्टहरूले प्रतिस्थापन गरिएको थियो। महत्त्वपूर्ण कुरा, CPUID ले पुष्टि गर्‍यो कि यसको मूल हस्ताक्षरित बाइनरीहरू अक्षुण्ण रह्यो, किनकि उल्लंघन माध्यमिक सुविधाबाट उत्पन्न भएको थियो, अनिवार्य रूपमा एक साइड API, जसले वेबसाइटलाई कोर सफ्टवेयर आफैंमा परिवर्तन गर्नुको सट्टा अनियमित रूपमा हानिकारक लिङ्कहरू प्रदर्शन गर्न बाध्य बनायो।

दुर्भावनापूर्ण पूर्वाधार: आक्रमणको पछाडि दुष्ट डोमेनहरू

साइबर सुरक्षा अनुसन्धानकर्ताहरूले गरेको अनुसन्धानले ट्रोजनाइज्ड पेलोडहरू होस्ट गर्न र डेलिभर गर्न प्रयोग गरिने धेरै डोमेनहरू पहिचान गर्‍यो। यी दुष्ट वेबसाइटहरूले शंकास्पद प्रयोगकर्ताहरूलाई सम्झौता गरिएका डाउनलोडहरूमा रिडिरेक्ट गर्न केन्द्रीय भूमिका खेलेका थिए:

• cahayailmukreatif.web[.]आईडी
• पब-४५c२५७७dbd१७४२९२a०२१३७c१८e७b१b५a.r२[.]देव
• ट्रान्जिटोपलेर्मो[.]com
• भ्याट्रोब्रान[.]घण्टा

यी डोमेनहरूले मालवेयर वितरण र कमाण्ड-एन्ड-नियन्त्रण सञ्चालनहरूलाई समर्थन गर्न डिजाइन गरिएको फराकिलो पूर्वाधारको अंश बनाए।

स्टिल्थी डेलिभरी संयन्त्र: DLL साइड-लोडिङ दुरुपयोग

आक्रमणकारीहरूले DLL साइड-लोडिङ भनिने एक प्रसिद्ध चोरी प्रविधि प्रयोग गरे। दुर्भावनापूर्ण प्याकेजहरू ZIP अभिलेख र स्ट्यान्डअलोन स्थापनाकर्ता दुवैको रूपमा वितरण गरिएको थियो, प्रत्येकमा दुई घटकहरू थिए: एक वैध, हस्ताक्षरित कार्यान्वयनयोग्य र 'CRYPTBASE.dll' नामक एक दुष्ट गतिशील लिङ्क पुस्तकालय।

हस्ताक्षरित बाइनरीहरूमा राखिएको विश्वासको शोषण गरेर, कार्यान्वयनको क्रममा दुर्भावनापूर्ण DLL लोड गरिएको थियो, जसले गर्दा गोप्य सम्झौता सम्भव भयो। थप कार्यहरू सुरु गर्नु अघि, मालवेयरले विश्लेषण वातावरणमा पत्ता लगाउनबाट बच्न एन्टी-स्यान्डबक्स जाँचहरू सञ्चालन गर्‍यो। यी जाँचहरू पास भएपछि, यसले अतिरिक्त पेलोडहरू पुन: प्राप्त गर्न बाह्य सर्भरलाई सम्पर्क गर्‍यो।

STX RAT तैनाती: एक बहुमुखी पोस्ट-शोषण उपकरण

अभियानको अन्तिम उद्देश्य STX RAT, लुकेको भर्चुअल नेटवर्क कम्प्युटिङ (HVNC) क्षमताहरू र व्यापक डेटा चोरी कार्यक्षमताले सुसज्जित एक शक्तिशाली रिमोट एक्सेस ट्रोजन तैनाथ गर्नु थियो।

यो मालवेयरले आक्रमणकारीहरूलाई संक्रमित प्रणालीहरूमा निरन्तर नियन्त्रण कायम राख्न र शोषण पछिका गतिविधिहरूको विस्तृत श्रृंखला कार्यान्वयन गर्न सक्षम बनाउँछ, जसमा समावेश छन्:

• EXE, DLL, PowerShell स्क्रिप्टहरू, र शेलकोडको इन-मेमोरी कार्यान्वयन
• रिभर्स प्रोक्सीइङ र नेटवर्क टनेलिङ
• रिमोट डेस्कटप अन्तरक्रिया र निगरानी

यस्ता क्षमताहरूले STX RAT लाई व्यक्तिगत र उद्यम दुवै वातावरणमा विशेष गरी खतरनाक बनाउँछ।

अभियान ओभरल्याप: पहिलेका फाइलजिला आक्रमणहरूको लिङ्कहरू

विश्लेषणले पत्ता लगायो कि यस घटनामा प्रयोग गरिएको कमाण्ड-एन्ड-कन्ट्रोल (C2) पूर्वाधार पहिले फाइलजिलाका ट्रोजनाइज्ड स्थापनाकर्ताहरू समावेश गर्ने छुट्टै अभियानसँग सम्बन्धित थियो। एउटै सर्भर कन्फिगरेसन र सञ्चार डोमेनहरूको पुन: प्रयोगले दुई अभियानहरू बीचको सञ्चालन ओभरल्यापलाई दृढतापूर्वक संकेत गर्दछ।

रणनीति, प्रविधि र पूर्वाधारको यो पुनरावृत्तिले पत्ता लगाउने र श्रेय दिने मूल्यवान सूचकहरू प्रदान गर्‍यो।

दीर्घकालीन सञ्चालन: १०-महिनाको अभियान समयरेखा

थप अनुसन्धानले CPUID उल्लंघन जुलाई २०२५ मा सुरु भएको फराकिलो अभियानको एक हिस्सा भएको देखाउँछ। 'superbad.exe' को रूपमा पहिचान गरिएको सबैभन्दा पुरानो ज्ञात मालवेयर नमूना ९५.२१६.५१.२३६ मा कमाण्ड-एन्ड-कन्ट्रोल सर्भरसँग कुराकानी गरिरहेको अवलोकन गरिएको थियो।

सुरक्षा विज्ञहरूले खतराको स्रोत सम्भवतः रूसी भाषा बोल्ने व्यक्ति भएको र आर्थिक रूपमा प्रेरित वा प्रारम्भिक पहुँच दलालको रूपमा काम गरिरहेको हुन सक्ने आकलन गर्छन्, जुन संस्था प्रणालीहरूमा पाइला राख्ने र त्यो पहुँच अन्य साइबर अपराधीहरूलाई बेच्ने विशेषज्ञता राख्छ।

प्रभाव मूल्याङ्कन: विविध पीडितहरूसँग विश्वव्यापी पहुँच

यस आक्रमणले १५० भन्दा बढी पुष्टि भएका पीडितहरूलाई असर गरेको छ, जसमा प्रायः व्यक्तिगत प्रयोगकर्ताहरू छन्। यद्यपि, खुद्रा, निर्माण, परामर्श, दूरसञ्चार र कृषि क्षेत्रहरू सहित धेरै उद्योगहरूमा रहेका संस्थाहरूले पनि सम्झौताको सामना गरेका छन्।

भौगोलिक रूपमा, अधिकांश संक्रमण ब्राजिल, रूस र चीनमा पहिचान गरिएको छ, जसले व्यापक र अवसरवादी लक्षित रणनीतिलाई संकेत गर्दछ।

सञ्चालन कमजोरीहरू: पत्ता लगाउन निम्त्याउने त्रुटिहरू

अभियानको स्केलको बावजुद, धेरै परिचालन सुरक्षा असफलताहरूले आक्रमणकारीहरूको प्रभावकारितालाई उल्लेखनीय रूपमा कमजोर बनायो। पहिलेका अभियानहरूबाट समान संक्रमण चेनहरू, STX RAT पेलोडहरू, र कमाण्ड-एन्ड-नियन्त्रण डोमेनहरूको पुन: प्रयोगले गतिविधिलाई ट्र्याक गर्न र सहसम्बन्ध गर्न सजिलो बनायो।

यी कमजोरीहरूले मालवेयर विकास र तैनाती अभ्यासहरूमा अपेक्षाकृत कम परिष्कारको संकेत गर्दछ। फलस्वरूप, डिफेन्डरहरूले वाटरिङ होल आक्रमणको सुरुवात पछि चाँडै पत्ता लगाउन सक्षम भए, जसले गर्दा यसको समग्र प्रभाव र एक्सपोजर विन्डो सीमित भयो।