Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware RTX RAT

RTX RAT

Tegen Mezo in Malware, Hulpmiddelen voor extern beheer
Vertalen naar:

Een beveiligingsincident met betrekking tot CPUID heeft gebruikers blootgesteld aan kwaadaardige software via de officiële website, cpuid.com. In minder dan 24 uur tijd slaagden cybercriminelen erin downloadlinks te manipuleren om geïnfecteerde versies van veelgebruikte hardwaremonitoringtools te verspreiden.

De inbreuk vond plaats tussen 9 april om 15:00 UTC en 10 april om 10:00 UTC, gedurende welke periode legitieme installatielinks met tussenpozen werden vervangen door kwaadaardige omleidingen. Belangrijk is dat CPUID bevestigde dat de originele ondertekende binaire bestanden intact bleven, aangezien de inbreuk voortkwam uit een secundaire functie, in feite een API, die ervoor zorgde dat de website willekeurig schadelijke links weergaf in plaats van de kernsoftware zelf te wijzigen.

Kwaadaardige infrastructuur: malafide domeinen achter de aanval

Onderzoek door cybersecurity-experts heeft verschillende domeinen geïdentificeerd die werden gebruikt om de met trojans besmette software te hosten en te verspreiden. Deze malafide websites speelden een centrale rol bij het omleiden van nietsvermoedende gebruikers naar gecompromitteerde downloads:

  • cahayailmukreatif.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transitopalermo[.]com
  • Vatrobran[.]hr

Deze domeinen maakten deel uit van een bredere infrastructuur die ontworpen was om de verspreiding van malware en command-and-control-operaties te ondersteunen.

Geheime leveringsmethode: Misbruik van DLL-sideloading

De aanvallers maakten gebruik van een bekende ontwijktechniek genaamd DLL-sideloading. De kwaadaardige pakketten werden verspreid als zowel ZIP-archieven als losse installatieprogramma's, die elk twee componenten bevatten: een legitiem, ondertekend uitvoerbaar bestand en een malafide dynamische linkbibliotheek genaamd 'CRYPTBASE.dll'.

Door misbruik te maken van het vertrouwen dat in ondertekende binaire bestanden werd gesteld, werd de kwaadaardige DLL tijdens de uitvoering geladen, waardoor een heimelijke inbreuk mogelijk werd. Voordat de malware verdere acties ondernam, voerde deze anti-sandbox-controles uit om detectie in analyseomgevingen te voorkomen. Nadat deze controles waren doorstaan, nam de malware contact op met een externe server om aanvullende payloads op te halen.

STX RAT-implementatie: een veelzijdig hulpmiddel voor post-exploitatie

Het uiteindelijke doel van de campagne was het inzetten van de STX RAT, een krachtige remote access trojan uitgerust met verborgen virtuele netwerkcomputing (HVNC)-mogelijkheden en uitgebreide functionaliteit voor gegevensdiefstal.

Deze malware stelt aanvallers in staat om de controle over geïnfecteerde systemen te behouden en een breed scala aan activiteiten na de infectie uit te voeren, waaronder:

  • Uitvoering van EXE-, DLL-, PowerShell-scripts en shellcode in het geheugen.
  • Reverse proxying en netwerktunneling
  • Interactie en bewaking op afstand via de desktop

Dergelijke mogelijkheden maken STX RAT bijzonder gevaarlijk, zowel in individuele als in bedrijfsomgevingen.

Campagne-overlap: Links naar eerdere FileZilla-aanvallen

Uit analyse bleek dat de Command-and-Control (C2)-infrastructuur die bij dit incident werd gebruikt, eerder in verband was gebracht met een aparte campagne waarbij met Trojanen geïnfecteerde installatieprogramma's van FileZilla werden ingezet. Het hergebruik van dezelfde serverconfiguraties en communicatiedomeinen wijst sterk op operationele overlapping tussen de twee campagnes.

Deze herhaling van tactieken, technieken en infrastructuur leverde waardevolle aanwijzingen op voor detectie en toewijzing van de dader.

Langetermijnoperatie: een tijdlijn voor een campagne van 10 maanden

Nader onderzoek wijst uit dat de inbreuk op CPUID onderdeel is van een bredere campagne die in juli 2025 van start ging. Het vroegst bekende malwarevoorbeeld, geïdentificeerd als 'superbad.exe', werd waargenomen tijdens communicatie met een command-and-controlserver op 95.216.51.236.

Beveiligingsdeskundigen schatten in dat de dader waarschijnlijk Russisch spreekt en mogelijk financieel gemotiveerd is of fungeert als een initial access broker, een entiteit die gespecialiseerd is in het verkrijgen van toegang tot systemen en het verkopen van die toegang aan andere cybercriminelen.

Impactbeoordeling: Wereldwijde reikwijdte met diverse slachtoffers

De aanval heeft meer dan 150 bevestigde slachtoffers getroffen, voornamelijk individuele gebruikers. Organisaties in diverse sectoren zijn echter ook getroffen, waaronder de detailhandel, de maakindustrie, de consultancy, de telecommunicatie en de landbouw.

Geografisch gezien zijn de meeste infecties vastgesteld in Brazilië, Rusland en China, wat wijst op een brede en opportunistische strategie van het bestrijden van de infecties.

Operationele zwakheden: fouten die tot ontdekking hebben geleid

Ondanks de omvang van de campagne ondermijnden verschillende operationele beveiligingsfouten de effectiviteit van de aanvallers aanzienlijk. Het hergebruik van identieke infectieketens, STX RAT-payloads en command-and-control-domeinen uit eerdere campagnes maakte de activiteiten gemakkelijker te traceren en te correleren.

Deze tekortkomingen wijzen op een relatief laag niveau van ontwikkeling en verspreiding van malware. Hierdoor konden verdedigers de watering hole-aanval snel na de start ervan detecteren, waardoor de algehele impact en de periode waarin de aanval zich kon verspreiden, beperkt bleven.


Trending

Meest bekeken

Bezig met laden...