Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie RTX RAT

RTX RAT

Do Mezo w Złośliwe oprogramowanie, Narzędzia do zdalnej administracji
Przetłumacz na:

Incydent bezpieczeństwa z udziałem CPUID naraził użytkowników na działanie złośliwego oprogramowania za pośrednictwem oficjalnej strony internetowej cpuid.com. Przez okres krótszy niż 24 godziny atakujący skutecznie manipulowali linkami do pobierania, aby rozpowszechniać zainfekowane wersje powszechnie używanych narzędzi do monitorowania sprzętu.

Do naruszenia bezpieczeństwa doszło między 9 kwietnia o godzinie 15:00 UTC a 10 kwietnia o godzinie 10:00 UTC. W tym czasie legalne linki instalatora były okresowo zastępowane złośliwymi przekierowaniami. Co ważne, CPUID potwierdził, że oryginalne podpisane pliki binarne pozostały nienaruszone, ponieważ naruszenie bezpieczeństwa wynikało z dodatkowej funkcji, w zasadzie pobocznego interfejsu API, która powodowała, że strona internetowa losowo wyświetlała szkodliwe linki, zamiast modyfikować samo oprogramowanie.

Złośliwa infrastruktura: domeny nieuczciwe stojące za atakiem

Badania przeprowadzone przez badaczy cyberbezpieczeństwa ujawniły kilka domen wykorzystywanych do hostowania i dostarczania trojanów. Te nieuczciwe strony internetowe odegrały kluczową rolę w przekierowywaniu niczego niepodejrzewających użytkowników do zainfekowanych plików:

  • cahayailmukreatif.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transitopalermo[.]com
  • Vatrobran[.]hr

Domeny te stanowiły część szerszej infrastruktury zaprojektowanej w celu obsługi dystrybucji złośliwego oprogramowania i operacji dowodzenia i kontroli.

Mechanizm ukrytego dostarczania: nadużycia związane z ładowaniem bocznym bibliotek DLL

Atakujący zastosowali znaną technikę unikania ataków zwaną „sideloadingiem” bibliotek DLL. Szkodliwe pakiety były dystrybuowane zarówno w postaci archiwów ZIP, jak i samodzielnych instalatorów, z których każdy zawierał dwa komponenty: legalny, podpisany plik wykonywalny oraz nieuczciwą bibliotekę DLL o nazwie „CRYPTBASE.dll”.

Wykorzystując zaufanie do podpisanych plików binarnych, złośliwa biblioteka DLL została załadowana podczas wykonywania, umożliwiając ukryte włamanie. Przed podjęciem dalszych działań, złośliwe oprogramowanie przeprowadziło testy anty-sandboxowe, aby uniknąć wykrycia w środowiskach analitycznych. Po pomyślnym przejściu tych testów, nawiązało kontakt z serwerem zewnętrznym w celu pobrania dodatkowych danych.

Wdrożenie STX RAT: wszechstronne narzędzie do działań poeksploatacyjnych

Ostatecznym celem kampanii było wdrożenie STX RAT, potężnego trojana umożliwiającego zdalny dostęp, wyposażonego w ukryte możliwości przetwarzania w wirtualnej sieci (HVNC) i rozbudowaną funkcjonalność kradzieży danych.

To złośliwe oprogramowanie umożliwia atakującym zachowanie trwałej kontroli nad zainfekowanymi systemami i wykonywanie szerokiej gamy działań po ich wykorzystaniu, w tym:

  • Wykonywanie w pamięci skryptów EXE, DLL, PowerShell i kodu powłoki
  • Odwrotne proxy i tunelowanie sieciowe
  • Interakcja i nadzór za pomocą pulpitu zdalnego

Tego typu możliwości sprawiają, że STX RAT jest szczególnie niebezpieczny zarówno w środowisku indywidualnym, jak i korporacyjnym.

Nakładanie się kampanii: linki do wcześniejszych ataków FileZilla

Analiza wykazała, że infrastruktura Command-and-Control (C2) użyta w tym incydencie była wcześniej powiązana z odrębną kampanią z udziałem trojanizowanych instalatorów FileZilli. Ponowne wykorzystanie tych samych konfiguracji serwerów i domen komunikacyjnych wyraźnie wskazuje na nakładanie się działań operacyjnych obu kampanii.

Powtarzanie taktyk, technik i infrastruktury dostarczyło cennych wskaźników do wykrywania i przypisywania winy.

Długoterminowa operacja: 10-miesięczny harmonogram kampanii

Dalsze dochodzenie wskazuje, że naruszenie bezpieczeństwa CPUID jest częścią szerszej kampanii, która rozpoczęła się w lipcu 2025 r. Najwcześniejsza znana próbka złośliwego oprogramowania, zidentyfikowana jako „superbad.exe”, komunikowała się z serwerem poleceń i kontroli pod adresem 95.216.51.236.

Eksperci ds. bezpieczeństwa oceniają, że sprawcą zagrożenia jest najprawdopodobniej osoba rosyjskojęzyczna, która może działać z pobudek finansowych lub jako pośrednik dostępu początkowego, czyli podmiot specjalizujący się w uzyskiwaniu dostępu do systemów i sprzedawaniu tego dostępu innym cyberprzestępcom.

Ocena wpływu: globalny zasięg z różnorodnymi ofiarami

Atak dotknął ponad 150 potwierdzonych ofiar, głównie użytkowników indywidualnych. Jednak organizacje z różnych branż również doświadczyły zagrożenia, w tym handlu detalicznego, produkcji, doradztwa, telekomunikacji i rolnictwa.

Pod względem geograficznym większość zakażeń odnotowano w Brazylii, Rosji i Chinach, co wskazuje na szeroką i oportunistyczną strategię zwalczania chorób.

Słabości operacyjne: błędy, które doprowadziły do wykrycia

Pomimo skali kampanii, kilka luk w zabezpieczeniach operacyjnych znacząco osłabiło skuteczność atakujących. Ponowne wykorzystanie identycznych łańcuchów infekcji, ładunków STX RAT oraz domen dowodzenia i kontroli z wcześniejszych kampanii ułatwiło śledzenie i korelację aktywności.

Te niedociągnięcia sugerują stosunkowo niski poziom zaawansowania w praktykach tworzenia i wdrażania złośliwego oprogramowania. W rezultacie obrońcy byli w stanie wykryć atak typu watering hole szybko po jego rozpoczęciu, ograniczając jego ogólny wpływ i czas ekspozycji.


Popularne

Oszustwo e-mailowe wymagające weryfikacji...

Phishing, Spam
Zachowanie ostrożności w przypadku nieoczekiwanych wiadomości e-mail jest niezbędne dla zachowania bezpieczeństwa w sieci. Cyberprzestępcy często maskują złośliwe wiadomości pod legalną komunikacją, aby wykorzystać zaufanie i poczucie pilności. Oszustwo e-mailowe z tzw. „wymaganą weryfikacją bezpieczeństwa” jest doskonałym przykładem tej taktyki. Te wiadomości e-mail, pomimo ich przekonującego...

Najczęściej oglądane

Ładowanie...