RTX RAT

CPUIDకి సంబంధించిన ఒక భద్రతా సంఘటన, దాని అధికారిక వెబ్‌సైట్ అయిన cpuid.com ద్వారా వినియోగదారులను హానికరమైన సాఫ్ట్‌వేర్‌కు గురిచేసింది. 24 గంటల కంటే తక్కువ వ్యవధిలో, దుష్ప్రవర్తకులు డౌన్‌లోడ్ లింక్‌లను విజయవంతంగా తారుమారు చేసి, విస్తృతంగా ఉపయోగించే హార్డ్‌వేర్ పర్యవేక్షణ సాధనాల యొక్క ఇన్ఫెక్టెడ్ వెర్షన్‌లను పంపిణీ చేశారు.

ఏప్రిల్ 9న 15:00 UTC నుండి ఏప్రిల్ 10న 10:00 UTC మధ్య ఈ ఉల్లంఘన జరిగింది, ఈ సమయంలో చట్టబద్ధమైన ఇన్‌స్టాలర్ లింక్‌లు అడపాదడపా హానికరమైన రీడైరెక్ట్‌లతో భర్తీ చేయబడ్డాయి. ముఖ్యంగా, CPUID తన అసలైన సంతకం చేసిన బైనరీలు చెక్కుచెదరకుండా ఉన్నాయని ధృవీకరించింది, ఎందుకంటే ఈ ఉల్లంఘన కోర్ సాఫ్ట్‌వేర్‌ను మార్చడం ద్వారా కాకుండా, వెబ్‌సైట్ యాదృచ్ఛికంగా హానికరమైన లింక్‌లను ప్రదర్శించేలా చేసిన ఒక ద్వితీయ ఫీచర్, అంటే ఒక సైడ్ API నుండి ఉద్భవించింది.

హానికరమైన మౌలిక సదుపాయాలు: దాడి వెనుక మోసపూరిత డొమైన్‌లు

సైబర్‌ సెక్యూరిటీ పరిశోధకులు జరిపిన దర్యాప్తులో, ట్రోజనైజ్డ్ పేలోడ్‌లను హోస్ట్ చేయడానికి మరియు పంపిణీ చేయడానికి ఉపయోగించే అనేక డొమైన్‌లను గుర్తించారు. ఈ మోసపూరిత వెబ్‌సైట్‌లు, ఏమీ అనుమానించని వినియోగదారులను ప్రమాదకరమైన డౌన్‌లోడ్‌ల వైపు మళ్లించడంలో కీలక పాత్ర పోషించాయి:

• cahayailmukreatif.web[.]id
• pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
• transitiopalermo[.]com
• వాట్రోబ్రాన్[.]హర్

ఈ డొమైన్‌లు మాల్‌వేర్ పంపిణీ మరియు కమాండ్-అండ్-కంట్రోల్ కార్యకలాపాలకు మద్దతు ఇవ్వడానికి రూపొందించిన విస్తృత మౌలిక సదుపాయాలలో భాగంగా ఏర్పడ్డాయి.

రహస్య డెలివరీ విధానం: DLL సైడ్-లోడింగ్ దుర్వినియోగం

దాడి చేసినవారు DLL సైడ్-లోడింగ్ అనే బాగా తెలిసిన తప్పించుకునే పద్ధతిని ఉపయోగించారు. హానికరమైన ప్యాకేజీలు ZIP ఆర్కైవ్‌లుగా మరియు స్టాండలోన్ ఇన్‌స్టాలర్‌లుగా పంపిణీ చేయబడ్డాయి, వీటిలో ప్రతి ఒక్కటి రెండు భాగాలను కలిగి ఉంది: ఒక చట్టబద్ధమైన, సంతకం చేయబడిన ఎగ్జిక్యూటబుల్ మరియు 'CRYPTBASE.dll' అనే పేరు గల ఒక మోసపూరిత డైనమిక్ లింక్ లైబ్రరీ.

సంతకం చేసిన బైనరీలపై ఉంచిన నమ్మకాన్ని దుర్వినియోగం చేసి, అమలు సమయంలో హానికరమైన DLL లోడ్ చేయబడింది, ఇది రహస్యంగా రాజీపడటానికి వీలు కల్పించింది. తదుపరి చర్యలను ప్రారంభించే ముందు, విశ్లేషణ వాతావరణాలలో గుర్తించబడకుండా ఉండేందుకు మాల్వేర్ యాంటీ-శాండ్‌బాక్స్ తనిఖీలను నిర్వహించింది. ఈ తనిఖీలు ఉత్తీర్ణత సాధించిన తర్వాత, అది అదనపు పేలోడ్‌లను తిరిగి పొందడానికి ఒక బాహ్య సర్వర్‌ను సంప్రదించింది.

STX RAT విస్తరణ: దోపిడీ అనంతర బహుముఖ సాధనం

ఈ క్యాంపెయిన్ యొక్క అంతిమ లక్ష్యం, హిడెన్ వర్చువల్ నెట్‌వర్క్ కంప్యూటింగ్ (HVNC) సామర్థ్యాలు మరియు విస్తృతమైన డేటా దొంగతనం కార్యాచరణతో కూడిన శక్తివంతమైన రిమోట్ యాక్సెస్ ట్రోజన్ అయిన STX RATను ప్రయోగించడం.

ఈ మాల్వేర్ దాడి చేసేవారికి సోకిన సిస్టమ్‌లపై నిరంతర నియంత్రణను కొనసాగించడానికి మరియు దోపిడీ అనంతర కార్యకలాపాల విస్తృత శ్రేణిని అమలు చేయడానికి వీలు కల్పిస్తుంది, వాటిలో ఇవి కూడా ఉన్నాయి:

• EXE, DLL, పవర్‌షెల్ స్క్రిప్ట్‌లు మరియు షెల్‌కోడ్ యొక్క మెమరీలో అమలు
• రివర్స్ ప్రాక్సీయింగ్ మరియు నెట్‌వర్క్ టన్నెలింగ్
• రిమోట్ డెస్క్‌టాప్ పరస్పర చర్య మరియు నిఘా

ఇటువంటి సామర్థ్యాలు STX RATను వ్యక్తిగత మరియు సంస్థాగత వాతావరణాలలో ప్రత్యేకంగా ప్రమాదకరంగా మారుస్తాయి.

ప్రచార అతివ్యాప్తి: మునుపటి ఫైల్‌జిల్లా దాడులతో సంబంధాలు

విశ్లేషణలో తేలిందేమిటంటే, ఈ సంఘటనలో ఉపయోగించిన కమాండ్-అండ్-కంట్రోల్ (C2) మౌలిక సదుపాయాలు, గతంలో FileZilla యొక్క ట్రోజనైజ్డ్ ఇన్‌స్టాలర్‌లకు సంబంధించిన ఒక ప్రత్యేక క్యాంపెయిన్‌తో ముడిపడి ఉన్నాయి. అవే సర్వర్ కాన్ఫిగరేషన్‌లు మరియు కమ్యూనికేషన్ డొమైన్‌లను తిరిగి ఉపయోగించడం, ఈ రెండు క్యాంపెయిన్‌ల మధ్య కార్యాచరణ పరంగా అతివ్యాప్తి ఉందని బలంగా సూచిస్తుంది.

ఈ వ్యూహాలు, పద్ధతులు మరియు మౌలిక సదుపాయాల పునరావృతం, గుర్తించడానికి మరియు ఆపాదించడానికి విలువైన సూచికలను అందించింది.

దీర్ఘకాలిక కార్యాచరణ: 10 నెలల ప్రచార కాలక్రమం

మరింత దర్యాప్తు ప్రకారం, CPUID ఉల్లంఘన అనేది జూలై 2025లో ప్రారంభమైన ఒక విస్తృత ప్రచారంలో భాగమని తెలుస్తోంది. 'superbad.exe'గా గుర్తించబడిన మొట్టమొదటి మాల్వేర్ నమూనా, 95.216.51.236 వద్ద ఉన్న కమాండ్-అండ్-కంట్రోల్ సర్వర్‌తో సంభాషిస్తున్నట్లు గమనించబడింది.

భద్రతా నిపుణుల అంచనా ప్రకారం, ముప్పు కలిగించే వ్యక్తి రష్యన్ భాష మాట్లాడేవాడై ఉండవచ్చు మరియు అతనికి ఆర్థిక ప్రేరణ ఉండవచ్చు లేదా సిస్టమ్‌లలోకి చొరబడి ఆ యాక్సెస్‌ను ఇతర సైబర్ నేరగాళ్లకు అమ్మడంలో నైపుణ్యం కలిగిన 'ఇనిషియల్ యాక్సెస్ బ్రోకర్' అనే సంస్థగా పనిచేస్తూ ఉండవచ్చు.

ప్రభావ అంచనా: విభిన్న బాధితులతో ప్రపంచవ్యాప్త పరిధి

ఈ దాడి వల్ల 150 మందికి పైగా బాధితులుగా నిర్ధారించబడిన వారిలో ప్రధానంగా వ్యక్తిగత వినియోగదారులు ఉన్నారు. అయితే, రిటైల్, తయారీ, కన్సల్టింగ్, టెలికమ్యూనికేషన్స్ మరియు వ్యవసాయ రంగాలతో సహా పలు పరిశ్రమలలోని సంస్థలు కూడా ఈ దాడికి గురయ్యాయి.

భౌగోళికంగా, అత్యధిక సంక్రమణలు బ్రెజిల్, రష్యా మరియు చైనాలలో గుర్తించబడ్డాయి, ఇది ఒక విస్తృతమైన మరియు అవకాశవాద లక్ష్య వ్యూహాన్ని సూచిస్తుంది.

కార్యాచరణ బలహీనతలు: గుర్తింపుకు దారితీసిన లోపాలు

ఈ దాడి భారీ స్థాయిలో జరిగినప్పటికీ, అనేక కార్యాచరణ భద్రతా వైఫల్యాలు దాడి చేసేవారి సామర్థ్యాన్ని గణనీయంగా దెబ్బతీశాయి. మునుపటి దాడుల నుండి ఒకే రకమైన ఇన్ఫెక్షన్ చైన్‌లు, STX RAT పేలోడ్‌లు మరియు కమాండ్-అండ్-కంట్రోల్ డొమైన్‌లను తిరిగి ఉపయోగించడం వల్ల, ఈ కార్యకలాపాన్ని గుర్తించడం మరియు పరస్పరం అనుసంధానించడం సులభమైంది.

ఈ లోపాలు మాల్వేర్ అభివృద్ధి మరియు విస్తరణ పద్ధతులలో సాపేక్షంగా తక్కువ అధునాతనతను సూచిస్తున్నాయి. ఫలితంగా, రక్షక దళాలు వాటరింగ్ హోల్ దాడి ప్రారంభమైన వెంటనే దానిని గుర్తించగలిగాయి, తద్వారా దాని మొత్తం ప్రభావాన్ని మరియు బహిర్గతమయ్యే కాలాన్ని పరిమితం చేశాయి.