Попуст за више лиценци
Тхреат Датабасе Малваре RTX RAT

RTX RAT

До Mezo. у Малваре, Алати за удаљену администрацију
Преведи на:

Безбедносни инцидент у који је умешан CPUID изложио је кориснике злонамерном софтверу преко његове званичне веб странице, cpuid.com. Током периода краћег од 24 сата, актери претње успешно су манипулисали линковима за преузимање како би дистрибуирали заражене верзије широко коришћених алата за праћење хардвера.

До компромитовања је дошло између 9. априла у 15:00 UTC и 10. априла у 10:00 UTC, током којих су легитимни линкови за инсталацију повремено замењивани злонамерним преусмеравањима. Важно је напоменути да је CPUID потврдио да су његови оригинални потписани бинарни фајлови остали нетакнути, јер је кршење проистекло из секундарне функције, у суштини споредног API-ја, која је узроковала да веб локација насумично приказује штетне линкове уместо да мења сам основни софтвер.

Злонамерна инфраструктура: Лажни домени иза напада

Истраге истраживача сајбер безбедности идентификовале су неколико домена који се користе за хостовање и испоруку тројанских додатака. Ови лажни веб-сајтови играли су централну улогу у преусмеравању неслутећих корисника на компромитована преузимања:

  • cahayailmukreativ.web[.]id
  • пуб-45ц2577дбд174292а02137ц18е7б1б5а.р2[.]дев
  • transitopalermo[.]com
  • Ватробран[.]х

Ови домени су били део шире инфраструктуре дизајниране да подржи дистрибуцију злонамерног софтвера и операције командовања и контроле.

Прикривени механизам испоруке: Злоупотреба бочног учитавања DLL-а

Нападачи су користили добро познату технику избегавања која се зове бочно учитавање DLL-а. Злонамерни пакети су дистрибуирани и као ZIP архиве и као самостални инсталатери, а сваки је садржао две компоненте: легитимну, потписану извршну датотеку и лажну динамичку библиотеку линкова под називом „CRYPTBASE.dll“.

Искоришћавањем поверења које се поставља према потписаним бинарним датотекама, злонамерни DLL је учитан током извршавања, омогућавајући прикривено компромитовање. Пре него што је започео даље акције, злонамерни софтвер је спроводио анти-пешчане провере како би избегао откривање у аналитичким окружењима. Након што су ове провере прошле, контактирао је екстерни сервер како би преузео додатне корисне податке.

STX RAT имплементација: Свестрани алат након експлоатације

Крајњи циљ кампање био је распоређивање STX RAT-а, моћног тројанца за даљински приступ опремљеног скривеним могућностима виртуелног мрежног рачунарства (HVNC) и опсежном функционалношћу крађе података.

Овај злонамерни софтвер омогућава нападачима да одрже сталну контролу над зараженим системима и изврше широк спектар активности након експлоатације, укључујући:

  • Извршавање EXE, DLL, PowerShell скрипти и shellcode-а у меморији
  • Обрнуто проксирање и мрежно тунелирање
  • Интеракција и надзор на удаљеној радној површини

Такве могућности чине STX RAT посебно опасним и у индивидуалним и у пословним окружењима.

Преклапање кампање: Линкови до ранијих напада на FileZilla

Анализа је открила да је инфраструктура командовања и контроле (C2) коришћена у овом инциденту претходно била повезана са посебном кампањом у којој су учествовали инсталатери FileZilla-е заражени тројанцима. Поновна употреба истих конфигурација сервера и комуникационих домена снажно указује на оперативно преклапање између две кампање.

Ово понављање тактика, техника и инфраструктуре пружило је вредне индикаторе за откривање и приписивање.

Дугорочна операција: Временски оквир кампање од 10 месеци

Даља истрага сугерише да је кршење CPUID-а део шире кампање која је почела у јулу 2025. године. Најранији познати узорак злонамерног софтвера, идентификован као „superbad.exe“, примећен је како комуницира са командно-контролним сервером на адреси 95.216.51.236.

Безбедносни стручњаци процењују да је претња вероватно руски говорник и да је можда финансијски мотивисан или да функционише као почетни посредник за приступ, ентитет који је специјализован за стицање упоришта у системима и продају тог приступа другим сајбер криминалцима.

Процена утицаја: Глобални досег са различитим жртвама

Напад је погодио више од 150 потврђених жртава, претежно појединачних корисника. Међутим, организације у више индустрија су такође доживеле угрожавање, укључујући малопродају, производњу, консалтинг, телекомуникације и пољопривреду.

Географски гледано, већина инфекција је идентификована у Бразилу, Русији и Кини, што указује на широку и опортунистичку стратегију циљања.

Оперативне слабости: Грешке које су довеле до откривања

Упркос обиму кампање, неколико пропуста у оперативној безбедности значајно је поткопало ефикасност нападача. Поновна употреба идентичних ланаца инфекције, STX RAT корисних података и домена командовања и контроле из ранијих кампања олакшала је праћење и корелацију активности.

Ови недостаци указују на релативно ниску софистицираност у развоју и пракси имплементације злонамерног софтвера. Као резултат тога, браниоци су били у стању да брзо открију напад „watering hole“ након његовог почетка, ограничавајући његов укупни утицај и временски оквир изложености.


У тренду

Потребна је безбедносна верификација - превара путем...

Пецање, Спам
Остајање опрезним при раду са неочекиваним имејловима је неопходно за одржавање безбедности на мрежи. Сајбер криминалци често прикривају злонамерне поруке као легитимне комуникације како би искористили поверење и хитност. Такозвана имејл превара „Потребна је безбедносна верификација“ је одличан пример ове тактике. Ови имејлови нису повезани ни са једном легитимном компанијом, организацијом или...

Најгледанији

Учитавање...