Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema RTX PODGANA

RTX PODGANA

Do leta Mezo leta Zlonamerna programska oprema, Orodja za oddaljeno upravljanje
Prevedi v:

Varnostni incident, v katerega je bil vpleten CPUID, je uporabnike prek njegovega uradnega spletnega mesta cpuid.com izpostavil zlonamerni programski opremi. V manj kot 24 urah so akterji grožnje uspešno manipulirali s povezavami za prenos, da bi distribuirali okužene različice široko uporabljenih orodij za spremljanje strojne opreme.

Do vdora je prišlo med 9. aprilom ob 15:00 UTC in 10. aprilom ob 10:00 UTC, med katerim so bile legitimne povezave do namestitvenega programa občasno nadomeščene z zlonamernimi preusmeritvami. Pomembno je, da je CPUID potrdil, da so njegove prvotno podpisane binarne datoteke ostale nedotaknjene, saj je kršitev izhajala iz sekundarne funkcije, v bistvu stranskega API-ja, ki je povzročila, da je spletno mesto naključno prikazovalo škodljive povezave, namesto da bi spremenilo samo osnovno programsko opremo.

Zlonamerna infrastruktura: Za napadom stojijo prevarantske domene

Preiskave raziskovalcev kibernetske varnosti so odkrile več domen, ki so se uporabljale za gostovanje in dostavo trojanskih koristnih nalaganj. Ta prevarantska spletna mesta so imela osrednjo vlogo pri preusmeritvi nič hudega slutečih uporabnikov na ogrožene prenose:

  • cahayailmukreativ.spletni[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transitopalermo[.]com
  • Vatrobran[.]h

Te domene so bile del širše infrastrukture, zasnovane za podporo distribucije zlonamerne programske opreme in operacijam vodenja in nadzora.

Prikrit mehanizem dostave: Zloraba stranskega nalaganja DLL

Napadalci so uporabili dobro znano tehniko izogibanja, imenovano stransko nalaganje DLL. Zlonamerni paketi so bili distribuirani kot ZIP arhivi in samostojni namestitveni programi, vsak od njih pa je vseboval dve komponenti: legitimno, podpisano izvršljivo datoteko in lažno dinamično povezovalno knjižnico z imenom »CRYPTBASE.dll«.

Zlonamerna DLL datoteka je bila z izkoriščanjem zaupanja v podpisane binarne datoteke naložena med izvajanjem, kar je omogočilo prikrito ogrožanje. Preden je zlonamerna programska oprema začela z nadaljnjimi dejanji, je izvedla preverjanja proti peskovniku, da bi se izognila odkritju v analitičnih okoljih. Ko so bila ta preverjanja uspešno opravljena, se je obrnila na zunanji strežnik, da bi pridobila dodatne koristne podatke.

Uvajanje STX RAT: Vsestransko orodje po izkoriščanju

Končni cilj kampanje je bil uvedba STX RAT, zmogljivega trojanca za oddaljeni dostop, opremljenega s skritimi zmogljivostmi virtualnega omrežnega računalništva (HVNC) in obsežno funkcionalnostjo kraje podatkov.

Ta zlonamerna programska oprema napadalcem omogoča, da ohranijo stalen nadzor nad okuženimi sistemi in izvedejo široko paleto dejavnosti po izkoriščanju, vključno z:

  • Izvajanje datotek EXE, DLL, skript PowerShell in shellcode v pomnilniku
  • Obratno posredovanje in omrežno tuneliranje
  • Interakcija in nadzor na daljavo

Zaradi takšnih zmogljivosti je STX RAT še posebej nevaren tako v individualnem kot v poslovnem okolju.

Prekrivanje kampanj: povezave do prejšnjih napadov FileZilla

Analiza je pokazala, da je bila infrastruktura Command-and-Control (C2), uporabljena v tem incidentu, predhodno povezana z ločeno kampanjo, v katero so bili vpleteni namestitveni programi FileZilla, okuženi s trojanci. Ponovna uporaba istih konfiguracij strežnika in komunikacijskih domen močno kaže na operativno prekrivanje med obema kampanjama.

To ponavljanje taktik, tehnik in infrastrukture je zagotovilo dragocene kazalnike za odkrivanje in pripisovanje.

Dolgoročno delovanje: 10-mesečni časovni načrt kampanje

Nadaljnja preiskava kaže, da je kršitev CPUID del širše kampanje, ki se je začela julija 2025. Najzgodnejši znani vzorec zlonamerne programske opreme, identificiran kot »superbad.exe«, je bil opažen pri komunikaciji s strežnikom za upravljanje in nadzor na naslovu 95.216.51.236.

Varnostni strokovnjaki ocenjujejo, da je napadalec verjetno rusko govoreč in da je morda finančno motiviran ali pa deluje kot posrednik za začetni dostop, subjekt, specializiran za pridobivanje oporo v sistemih in prodajo tega dostopa drugim kibernetskim kriminalcem.

Ocena učinka: globalni doseg z različnimi žrtvami

Napad je prizadel več kot 150 potrjenih žrtev, večinoma posameznih uporabnikov. Vendar pa so bile ogrožene tudi organizacije iz več panog, vključno s sektorji trgovine na drobno, proizvodnje, svetovanja, telekomunikacij in kmetijstva.

Geografsko gledano je bila večina okužb ugotovljenih v Braziliji, Rusiji in na Kitajskem, kar kaže na široko in oportunistično strategijo ciljanja.

Operativne slabosti: napake, ki so privedle do odkritja

Kljub obsegu kampanje je več napak v operativni varnosti znatno spodkopalo učinkovitost napadalcev. Ponovna uporaba identičnih verig okužb, koristnih tovorov STX RAT in domen za upravljanje in nadzor iz prejšnjih kampanj je olajšala sledenje in povezovanje dejavnosti.

Te pomanjkljivosti kažejo na relativno nizko stopnjo sofisticiranosti pri razvoju in uvajanju zlonamerne programske opreme. Posledično so branilci lahko napad watering hole zaznali hitro po njegovem začetku, kar je omejilo njegov celotni vpliv in obdobje izpostavljenosti.

 

V trendu

Zahtevano varnostno preverjanje Prevara po e-pošti

Lažno predstavljanje, Neželena pošta
Previdnost pri ravnanju z nepričakovanimi e-poštnimi sporočili je bistvenega pomena za ohranjanje spletne varnosti. Kibernetski kriminalci pogosto prikrivajo zlonamerna sporočila kot legitimna sporočila, da bi izkoristili zaupanje in nujnost. Tako imenovana e-poštna prevara »Zahteva se varnostno preverjanje« je odličen primer te taktike. Ta e-poštna sporočila kljub prepričljivemu videzu niso...

Najbolj gledan

Nalaganje...