Rabattoffert för flera licenser
Hotdatabas Skadlig programvara RTX-RATT

RTX-RATT

Med Mezo år Skadlig programvara, Fjärradministrationsverktyg
Översätt till:

En säkerhetsincident med CPUID exponerade användare för skadlig programvara via deras officiella webbplats, cpuid.com. Under en period på mindre än 24 timmar lyckades hotaktörer manipulera nedladdningslänkar för att distribuera infekterade versioner av allmänt använda verktyg för hårdvaruövervakning.

Intrånget inträffade mellan den 9 april kl. 15:00 UTC och den 10 april kl. 10:00 UTC, under vilken tid legitima installationslänkar ersattes med skadliga omdirigeringar. Viktigt är att CPUID bekräftade att dess ursprungliga signerade binärfiler förblev intakta, eftersom intrånget härrörde från en sekundär funktion, i huvudsak ett sido-API, som fick webbplatsen att slumpmässigt visa skadliga länkar snarare än att ändra själva kärnprogramvaran.

Skadlig infrastruktur: Oseriösa domäner bakom attacken

Undersökningar gjorda av cybersäkerhetsforskare identifierade flera domäner som användes för att vara värd för och leverera de trojanska nyttolasten. Dessa oseriösa webbplatser spelade en central roll i att omdirigera intet ont anande användare till komprometterade nedladdningar:

  • cahayailmukreatif.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transitopalermo[.]com
  • Vatrobran[.]timme

Dessa domäner utgjorde en del av en bredare infrastruktur utformad för att stödja distribution av skadlig programvara och kommando- och kontrolloperationer.

Smygande leveransmekanism: Missbruk av sidladdning av DLL

Angriparna använde en välkänd undanflyktsteknik som kallas DLL-sidoladdning. De skadliga paketen distribuerades både som ZIP-arkiv och fristående installationsprogram, som var och en innehöll två komponenter: en legitim, signerad körbar fil och ett falskt dynamiskt länkbibliotek med namnet 'CRYPTBASE.dll'.

Genom att utnyttja förtroendet för signerade binärfiler laddades den skadliga DLL-filen under körning, vilket möjliggjorde en hemlig kompromettering. Innan ytterligare åtgärder vidtogs utförde skadlig programvaran anti-sandbox-kontroller för att undvika upptäckt i analysmiljöer. När dessa kontroller hade godkänts kontaktade den en extern server för att hämta ytterligare nyttolaster.

STX RAT-distribution: Ett mångsidigt verktyg efter exploatering

Kampanjens slutgiltiga mål var att driftsätta STX RAT, en kraftfull fjärråtkomsttrojan utrustad med funktioner för dold virtuell nätverksberäkning (HVNC) och omfattande funktioner för datastöld.

Denna skadliga kod gör det möjligt för angripare att upprätthålla beständig kontroll över infekterade system och utföra en mängd olika aktiviteter efter utnyttjandet, inklusive:

  • Exekvering av EXE, DLL, PowerShell-skript och shellcode i minnet
  • Omvänd proxy och nätverkstunnling
  • Interaktion och övervakning på fjärrskrivbordet

Sådana funktioner gör STX RAT särskilt farlig i både individuella och företagsmiljöer.

Kampanjöverlappning: Länkar till tidigare FileZilla-attacker

Analysen visade att kommando- och kontrollinfrastrukturen (C2) som användes i denna incident tidigare hade kopplats till en separat kampanj som involverade trojanska installationsprogram av FileZilla. Återanvändningen av samma serverkonfigurationer och kommunikationsdomäner indikerar starkt operativ överlappning mellan de två kampanjerna.

Denna upprepning av taktiker, tekniker och infrastruktur gav värdefulla indikatorer för upptäckt och tillskrivning.

Långsiktig drift: En 10-månaders tidslinje för kampanjen

Ytterligare undersökning tyder på att CPUID-intrånget är en del av en större kampanj som började i juli 2025. Det tidigast kända skadliga exemplet, identifierat som 'superbad.exe', observerades kommunicera med en kommando- och kontrollserver på 95.216.51.236.

Säkerhetsexperter bedömer att hotaktören sannolikt är rysktalande och kan vara ekonomiskt motiverad eller fungera som en initial åtkomstmäklare, en enhet som specialiserar sig på att få fotfäste i system och sälja den åtkomsten till andra cyberbrottslingar.

Konsekvensbedömning: Global räckvidd med olika offer

Attacken har drabbat fler än 150 bekräftade offer, främst enskilda användare. Organisationer inom flera branscher har dock också drabbats, inklusive detaljhandel, tillverkning, konsultverksamhet, telekommunikation och jordbruk.

Geografiskt sett har majoriteten av infektionerna identifierats i Brasilien, Ryssland och Kina, vilket tyder på en bred och opportunistisk målinriktningsstrategi.

Operativa svagheter: Fel som ledde till upptäckt

Trots kampanjens omfattning undergrävde flera operativa säkerhetsbrister angriparnas effektivitet avsevärt. Återanvändningen av identiska infektionskedjor, STX RAT-nyttolaster och kommando- och kontrolldomäner från tidigare kampanjer gjorde aktiviteten lättare att spåra och korrelera.

Dessa brister tyder på relativt låg sofistikering i utveckling och distribution av skadlig kod. Som ett resultat kunde försvarare upptäcka vattenhålsattacken snabbt efter att den initierats, vilket begränsade dess totala effekt och exponeringsfönster.

 

Trendigt

Mest sedda

Läser in...