RTX RAT
В результате инцидента с безопасностью, связанного с CPUID, пользователи подверглись воздействию вредоносного программного обеспечения через официальный сайт компании, cpuid.com. В течение менее чем 24 часов злоумышленники успешно манипулировали ссылками для скачивания, чтобы распространять зараженные версии широко используемых инструментов мониторинга оборудования.
Взлом произошел в период с 15:00 UTC 9 апреля до 10:00 UTC 10 апреля, в течение которого легитимные ссылки на установщик периодически заменялись вредоносными перенаправлениями. Важно отметить, что CPUID подтвердила, что ее оригинальные подписанные бинарные файлы остались нетронутыми, поскольку взлом произошел из-за вторичной функции, по сути, стороннего API, который заставлял веб-сайт случайным образом отображать вредоносные ссылки, а не изменял само основное программное обеспечение.
Оглавление
Вредоносная инфраструктура: вредоносные домены, стоящие за атакой
В ходе расследования, проведенного специалистами по кибербезопасности, было выявлено несколько доменов, использовавшихся для размещения и распространения троянских программ. Эти вредоносные веб-сайты играли центральную роль в перенаправлении ничего не подозревающих пользователей на скомпрометированные файлы для скачивания:
- cahayailmukreatif.web[.]id
- pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
- transitopalermo[.]com
- Ватобрана[.]р
Эти домены являлись частью более широкой инфраструктуры, предназначенной для поддержки распространения вредоносного ПО и операций по управлению и контролю.
Механизм скрытой доставки: злоупотребление боковой загрузкой DLL.
Злоумышленники использовали хорошо известный метод обхода защиты, называемый «загрузкой DLL-файлов через сторонние источники». Вредоносные пакеты распространялись как в виде ZIP-архивов, так и в виде отдельных установщиков, каждый из которых содержал два компонента: легитимный, подписанный исполняемый файл и вредоносную динамически подключаемую библиотеку под названием «CRYPTBASE.dll».
Используя доверие, оказанное подписанным бинарным файлам, вредоносная DLL-библиотека загружалась во время выполнения, что позволяло скрытно её скомпрометировать. Перед началом дальнейших действий вредоносная программа проводила проверки на чувствительность к песочнице, чтобы избежать обнаружения в средах анализа. После успешного прохождения этих проверок она связывалась с внешним сервером для получения дополнительных полезных нагрузок.
Развертывание STX RAT: универсальный инструмент для постэксплуатации.
Конечная цель кампании заключалась в развертывании STX RAT, мощного трояна удаленного доступа, оснащенного скрытыми возможностями виртуальных сетевых вычислений (HVNC) и широкими функциями кражи данных.
Это вредоносное ПО позволяет злоумышленникам сохранять постоянный контроль над зараженными системами и выполнять широкий спектр действий после взлома, включая:
- Выполнение исполняемых файлов (EXE), DLL-библиотек, сценариев PowerShell и шеллкода в оперативной памяти.
- Обратное проксирование и сетевое туннелирование
- Удаленное взаимодействие с рабочим столом и наблюдение
Подобные возможности делают STX RAT особенно опасным как для частных лиц, так и для предприятий.
Пересечение кампаний: Связи с более ранними атаками FileZilla
Анализ показал, что инфраструктура управления и контроля (C2), использованная в этом инциденте, ранее была связана с отдельной кампанией, включавшей троянизированные установщики FileZilla. Повторное использование одних и тех же конфигураций серверов и доменов связи убедительно свидетельствует об оперативном совпадении между двумя кампаниями.
Повторение тактик, методов и инфраструктуры обеспечило ценные индикаторы для обнаружения и установления виновных.
Долгосрочная операция: 10-месячный план кампании
Дальнейшее расследование показывает, что взлом CPUID является частью более масштабной кампании, начавшейся в июле 2025 года. Самый ранний известный образец вредоносного ПО, идентифицированный как «superbad.exe», был замечен в процессе связи с сервером управления по адресу 95.216.51.236.
Эксперты по безопасности считают, что злоумышленник, скорее всего, говорит по-русски и может иметь финансовые мотивы или действовать в качестве посредника по предоставлению первоначального доступа — организации, специализирующейся на получении доступа к системам и продаже этого доступа другим киберпреступникам.
Оценка воздействия: глобальный охват и различные категории жертв
В результате атаки пострадало более 150 подтвержденных жертв, преимущественно частных пользователей. Однако взлому подверглись и организации из самых разных отраслей, включая розничную торговлю, производство, консалтинг, телекоммуникации и сельское хозяйство.
С географической точки зрения, большинство случаев заражения выявлено в Бразилии, России и Китае, что указывает на широкую и целенаправленную стратегию борьбы с инфекцией.
Операционные недостатки: ошибки, приведшие к обнаружению
Несмотря на масштаб кампании, ряд сбоев в системе оперативной безопасности значительно подорвал эффективность злоумышленников. Повторное использование идентичных цепочек заражения, полезных нагрузок STX RAT и доменов управления из предыдущих кампаний упростило отслеживание и сопоставление действий.
Эти недостатки свидетельствуют о сравнительно низком уровне сложности методов разработки и развертывания вредоносного ПО. В результате, специалисты по защите смогли быстро обнаружить атаку типа «водяная яма» после ее начала, ограничив ее общее воздействие и период уязвимости.
