Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware RTX RAT

RTX RAT

Nga MezoMalware, Mjetet e administrimit në distancë
Përkthe në:

Një incident sigurie që përfshinte CPUID i ekspozoi përdoruesit ndaj softuerëve dashakeq përmes faqes së saj zyrtare të internetit, cpuid.com. Për një periudhë prej më pak se 24 orësh, aktorët kërcënues manipuluan me sukses lidhjet e shkarkimit për të shpërndarë versione të infektuara të mjeteve të monitorimit të pajisjeve të përdorura gjerësisht.

Komprometimi ndodhi midis 9 prillit në orën 15:00 UTC dhe 10 prillit në orën 10:00 UTC, gjatë të cilave lidhjet legjitime të instaluesit u zëvendësuan herë pas here me ridrejtime keqdashëse. Është e rëndësishme të theksohet se CPUID konfirmoi që skedarët e tij binare të nënshkruar origjinalë mbetën të paprekur, pasi shkelja buronte nga një veçori dytësore, në thelb një API anësore, që bëri që faqja e internetit të shfaqte rastësisht lidhje të dëmshme në vend që të ndryshonte vetë softuerin kryesor.

Infrastrukturë keqdashëse: Domene mashtruese pas sulmit

Hetimet nga studiuesit e sigurisë kibernetike identifikuan disa domene të përdorura për të pritur dhe shpërndarë ngarkesat e trojanizuara. Këto faqe interneti mashtruese luajtën një rol qendror në ridrejtimin e përdoruesve të pasigurt drejt shkarkimeve të kompromentuara:

  • cahayailmukreatif.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transitopalermo[.]com
  • Vatrobran[.]hr

Këto domene ishin pjesë e një infrastrukture më të gjerë të projektuar për të mbështetur shpërndarjen e programeve keqdashëse dhe operacionet e komandës dhe kontrollit.

Mekanizëm i fshehtë i dorëzimit: Abuzimi me ngarkim anësor të DLL-së

Sulmuesit përdorën një teknikë të njohur shmangieje të quajtur ngarkim anësor i DLL-ve. Paketat keqdashëse u shpërndanë si arkiva ZIP dhe instalues të pavarur, secili prej të cilëve përmbante dy komponentë: një skedar ekzekutues legjitim dhe të nënshkruar dhe një bibliotekë të lidhjeve dinamike mashtruese të quajtur 'CRYPTBASE.dll'.

Duke shfrytëzuar besimin e vendosur në skedarët binare të nënshkruar, DLL-ja keqdashëse u ngarkua gjatë ekzekutimit, duke mundësuar kompromentimin e fshehtë. Përpara se të fillonte veprime të mëtejshme, programi keqdashës kreu kontrolle anti-sandbox për të shmangur zbulimin në mjediset e analizës. Pasi këto kontrolle kaluan me sukses, ai kontaktoi një server të jashtëm për të marrë ngarkesa shtesë.

Vendosja e STX RAT: Një mjet i gjithanshëm pas shfrytëzimit

Objektivi përfundimtar i fushatës ishte vendosja e STX RAT, një trojan i fuqishëm me akses në distancë i pajisur me aftësi të informatikës së rrjetit virtual të fshehur (HVNC) dhe funksionalitet të gjerë kundër vjedhjes së të dhënave.

Ky program keqdashës u mundëson sulmuesve të ruajnë kontroll të vazhdueshëm mbi sistemet e infektuara dhe të ekzekutojnë një gamë të gjerë aktivitetesh pas shfrytëzimit, duke përfshirë:

  • Ekzekutimi në memorie i EXE, DLL, skripteve PowerShell dhe shellcode
  • Proxying i kundërt dhe tunelimi i rrjetit
  • Ndërveprimi dhe mbikëqyrja e desktopit në distancë

Aftësi të tilla e bëjnë STX RAT veçanërisht të rrezikshëm si në mjediset individuale ashtu edhe në ato të ndërmarrjeve.

Mbivendosja e Fushatës: Lidhje me Sulmet e Mëparshme FileZilla

Analiza zbuloi se infrastruktura e Komandës dhe Kontrollit (C2) e përdorur në këtë incident ishte shoqëruar më parë me një fushatë të veçantë që përfshinte instalues të FileZilla-s të infektuar me trojan. Ripërdorimi i të njëjtave konfigurime të serverit dhe domeneve të komunikimit tregon fuqimisht mbivendosje operacionale midis dy fushatave.

Kjo përsëritje e taktikave, teknikave dhe infrastrukturës ofroi tregues të vlefshëm për zbulimin dhe atribuimin.

Operacion Afatgjatë: Një Afat Kohor Fushate 10-Mujor

Hetimet e mëtejshme sugjerojnë se shkelja e CPUID është pjesë e një fushate më të gjerë që filloi në korrik 2025. Mostra më e hershme e njohur e malware-it, e identifikuar si 'superbad.exe', u vu re duke komunikuar me një server komande dhe kontrolli në 95.216.51.236.

Ekspertët e sigurisë vlerësojnë se aktori kërcënues ka të ngjarë të jetë rusishtfolës dhe mund të jetë i motivuar financiarisht ose të funksionojë si një ndërmjetës fillestar i aksesit, një entitet që specializohet në fitimin e terrenit në sisteme dhe shitjen e këtij aksesi te kriminelët e tjerë kibernetikë.

Vlerësimi i Ndikimit: Shtrirja Globale me Viktima të Diversitetit

Sulmi ka prekur më shumë se 150 viktima të konfirmuara, kryesisht përdorues individualë. Megjithatë, edhe organizatat në industri të shumta kanë përjetuar kompromentim, duke përfshirë sektorët e shitjes me pakicë, prodhimit, konsulencës, telekomunikacionit dhe bujqësisë.

Gjeografikisht, shumica e infeksioneve janë identifikuar në Brazil, Rusi dhe Kinë, duke treguar një strategji të gjerë dhe oportuniste të shënjestrimit.

Dobësitë Operacionale: Gabimet që Çuan në Zbulim

Pavarësisht shkallës së fushatës, disa dështime të sigurisë operacionale dëmtuan ndjeshëm efektivitetin e sulmuesve. Ripërdorimi i zinxhirëve identikë të infeksionit, ngarkesave STX RAT dhe domeneve të komandës dhe kontrollit nga fushatat e mëparshme e bëri aktivitetin më të lehtë për t'u ndjekur dhe për t'u lidhur.

Këto mangësi sugjerojnë një sofistikim relativisht të ulët në praktikat e zhvillimit dhe vendosjes së malware-ve. Si rezultat, mbrojtësit ishin në gjendje të zbulonin sulmin "water hole" shpejt pas fillimit të tij, duke kufizuar ndikimin e tij të përgjithshëm dhe dritaren e ekspozimit.


Në trend

Mashtrimi me email i kërkuar për verifikim sigurie

Fishing, Spam
Të qëndrosh i kujdesshëm kur merresh me email-e të papritura është thelbësore për ruajtjen e sigurisë në internet. Kriminelët kibernetikë shpesh i maskojnë mesazhet keqdashëse si komunikime legjitime për të shfrytëzuar besimin dhe urgjencën. Mashtrimi me email i ashtuquajtur 'Kërkohet Verifikim Sigurie' është një shembull kryesor i kësaj taktike. Këto email-e nuk janë të lidhura me asnjë...

Më e shikuara

Po ngarkohet...