Multilicenčná zľavová ponuka
Databáza hrozieb Malvér RTX RAT

RTX RAT

Do roku Mezo v roku Malvér, Nástroje vzdialenej správy
Preložiť do:

Bezpečnostný incident týkajúci sa spoločnosti CPUID vystavil používateľov škodlivému softvéru prostredníctvom jej oficiálnej webovej stránky cpuid.com. Počas obdobia kratšieho ako 24 hodín útočníci úspešne manipulovali s odkazmi na stiahnutie, aby distribuovali infikované verzie široko používaných nástrojov na monitorovanie hardvéru.

K narušeniu došlo medzi 9. aprílom o 15:00 UTC a 10. aprílom o 10:00 UTC, počas ktorých boli legitímne odkazy na inštalátor prerušovane nahrádzané škodlivými presmerovaniami. Dôležité je, že CPUID potvrdil, že jeho pôvodné podpísané binárne súbory zostali nedotknuté, pretože narušenie pramenilo zo sekundárnej funkcie, v podstate vedľajšieho API, ktorá spôsobovala, že webová stránka náhodne zobrazovala škodlivé odkazy, a nie aby menila samotný jadro softvéru.

Škodlivá infraštruktúra: Za útokom stoja podvodné domény

Vyšetrovania výskumníkov v oblasti kybernetickej bezpečnosti identifikovali niekoľko domén používaných na hosťovanie a doručovanie trójskych koní. Tieto podvodné webové stránky zohrali ústrednú úlohu pri presmerovaní nič netušiacich používateľov na kompromitované súbory na stiahnutie:

  • cahayailmukreativ.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transitopalermo[.]com
  • Vatrobran[.]hod

Tieto domény tvorili súčasť širšej infraštruktúry určenej na podporu distribúcie škodlivého softvéru a operácií velenia a riadenia.

Mechanizmus tajného doručovania: Zneužívanie bočného načítavania DLL

Útočníci použili známu techniku úniku nazývanú bočné načítavanie DLL. Škodlivé balíky boli distribuované ako ZIP archívy aj samostatné inštalátory, pričom každý obsahoval dve komponenty: legitímny, podpísaný spustiteľný súbor a falošnú dynamickú linkovaciu knižnicu s názvom „CRYPTBASE.dll“.

Zneužitím dôveryhodnosti podpísaných binárnych súborov sa škodlivá knižnica DLL načítala počas vykonávania, čo umožnilo skryté narušenie bezpečnosti. Pred začatím ďalších akcií malvér vykonal kontroly proti sandboxu, aby sa vyhol odhaleniu v analytických prostrediach. Po úspešnom absolvovaní týchto kontrol kontaktoval externý server, aby načítal ďalšie užitočné zaťaženia.

Nasadenie STX RAT: Všestranný nástroj po exploitácii

Konečným cieľom kampane bolo nasadenie STX RAT, výkonného trójskeho koňa pre vzdialený prístup vybaveného skrytými funkciami virtuálnych sieťových výpočtov (HVNC) a rozsiahlymi funkciami proti krádeži údajov.

Tento malvér umožňuje útočníkom udržiavať si trvalú kontrolu nad infikovanými systémami a vykonávať širokú škálu aktivít po zneužití vrátane:

  • Vykonávanie EXE, DLL, PowerShell skriptov a shellcode v pamäti
  • Reverzné proxy a sieťové tunelovanie
  • Interakcia a dohľad na vzdialenej ploche

Vďaka týmto schopnostiam je STX RAT obzvlášť nebezpečný v individuálnom aj podnikovom prostredí.

Prekrývanie kampaní: Odkazy na skoršie útoky FileZilla

Analýza odhalila, že infraštruktúra velenia a riadenia (C2) použitá v tomto incidente bola predtým spojená so samostatnou kampaňou zahŕňajúcou inštalátory FileZilla napadnuté trójskymi koňmi. Opätovné použitie rovnakých konfigurácií serverov a komunikačných domén silne naznačuje operačnú prekrytosť medzi týmito dvoma kampaňami.

Toto opakovanie taktík, techník a infraštruktúry poskytlo cenné indikátory pre detekciu a pripisovanie.

Dlhodobá operácia: 10-mesačný časový harmonogram kampane

Ďalšie vyšetrovanie naznačuje, že narušenie CPUID je súčasťou širšej kampane, ktorá sa začala v júli 2025. Najstaršia známa vzorka malvéru, identifikovaná ako „superbad.exe“, bola pozorovaná pri komunikácii s veliteľským serverom na adrese 95.216.51.236.

Bezpečnostní experti odhadujú, že útočník pravdepodobne hovorí po rusky a môže byť finančne motivovaný alebo fungovať ako sprostredkovateľ počiatočného prístupu, teda subjekt, ktorý sa špecializuje na získavanie kontaktov v systémoch a predaj tohto prístupu iným kyberzločincom.

Posúdenie vplyvu: Globálny dosah s rôznymi obeťami

Útok zasiahol viac ako 150 potvrdených obetí, prevažne individuálnych používateľov. S kompromitáciou sa však stretli aj organizácie z viacerých odvetví vrátane maloobchodu, výroby, poradenstva, telekomunikácií a poľnohospodárstva.

Geograficky bola väčšina infekcií identifikovaná v Brazílii, Rusku a Číne, čo naznačuje širokú a oportunistickú stratégiu zacielenia.

Prevádzkové nedostatky: Chyby, ktoré viedli k odhaleniu

Napriek rozsahu kampane niekoľko zlyhaní operačnej bezpečnosti výrazne podkopalo efektivitu útočníkov. Opätovné použitie identických infekčných reťazcov, dátových dát STX RAT a domén velenia a riadenia z predchádzajúcich kampaní uľahčilo sledovanie a koreláciu aktivít.

Tieto nedostatky naznačujú relatívne nízku sofistikovanosť postupov vývoja a nasadzovania malvéru. V dôsledku toho boli obrancovia schopní odhaliť útok typu „watering hole“ rýchlo po jeho začatí, čo obmedzilo jeho celkový dopad a čas expozície.


Trendy

Vyžaduje sa overenie zabezpečenia pri podvode s...

Phishing, Spam
Pre zachovanie online bezpečnosti je nevyhnutná opatrnosť pri riešení neočakávaných e-mailov. Kyberzločinci často maskujú škodlivé správy ako legitímnu komunikáciu, aby zneužili dôveru a naliehavosť. Takzvaný e-mailový podvod s názvom „Vyžaduje sa bezpečnostné overenie“ je ukážkovým príkladom tejto taktiky. Tieto e-maily nie sú spojené so žiadnymi legitímnymi spoločnosťami, organizáciami ani...

Najviac videné

Načítava...