RTX RAT
เหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับ CPUID ทำให้ผู้ใช้เสี่ยงต่อมัลแวร์ผ่านทางเว็บไซต์อย่างเป็นทางการ cpuid.com ภายในระยะเวลาไม่ถึง 24 ชั่วโมง ผู้โจมตีได้ทำการดัดแปลงลิงก์ดาวน์โหลดเพื่อเผยแพร่โปรแกรมตรวจสอบฮาร์ดแวร์ที่ใช้กันอย่างแพร่หลายเวอร์ชันติดมัลแวร์
การโจมตีเกิดขึ้นระหว่างวันที่ 9 เมษายน เวลา 15:00 UTC ถึงวันที่ 10 เมษายน เวลา 10:00 UTC โดยลิงก์ติดตั้งที่ถูกต้องถูกแทนที่ด้วยลิงก์เปลี่ยนเส้นทางที่เป็นอันตรายเป็นระยะๆ ที่สำคัญ CPUID ยืนยันว่าไฟล์ไบนารีที่ลงนามแล้วดั้งเดิมยังคงอยู่ครบถ้วน เนื่องจากช่องโหว่เกิดจากฟีเจอร์รอง ซึ่งเป็น API เสริม ที่ทำให้เว็บไซต์แสดงลิงก์ที่เป็นอันตรายแบบสุ่ม แทนที่จะเปลี่ยนแปลงซอฟต์แวร์หลักเอง
สารบัญ
โครงสร้างพื้นฐานที่เป็นอันตราย: โดเมนที่ไม่ได้รับอนุญาตอยู่เบื้องหลังการโจมตี
การตรวจสอบโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุโดเมนหลายแห่งที่ใช้ในการโฮสต์และส่งไฟล์มัลแวร์ เว็บไซต์ที่ไม่พึงประสงค์เหล่านี้มีบทบาทสำคัญในการเปลี่ยนเส้นทางผู้ใช้ที่ไม่ระมัดระวังไปยังไฟล์ดาวน์โหลดที่ติดไวรัส:
- cahayailmukreatif.web[.]id
- pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
- transitopalermo[.]com
- วาโตบราน[.]เอชอาร์
โดเมนเหล่านี้เป็นส่วนหนึ่งของโครงสร้างพื้นฐานที่กว้างขึ้น ซึ่งออกแบบมาเพื่อสนับสนุนการแพร่กระจายมัลแวร์และการปฏิบัติการควบคุมและสั่งการ
กลไกการส่งมอบแบบลับๆ: การใช้ช่องโหว่การโหลด DLL ด้านข้าง
ผู้โจมตีใช้วิธีการหลบเลี่ยงที่รู้จักกันดีที่เรียกว่า DLL side-loading แพ็กเกจที่เป็นอันตรายถูกเผยแพร่ในรูปแบบไฟล์ ZIP และตัวติดตั้งแบบสแตนด์อโลน โดยแต่ละไฟล์ประกอบด้วยสองส่วน ได้แก่ ไฟล์ปฏิบัติการที่ถูกต้องและลงนามแล้ว และไลบรารีลิงก์แบบไดนามิกปลอมชื่อ 'CRYPTBASE.dll'
ด้วยการใช้ประโยชน์จากความเชื่อมั่นที่วางไว้กับไฟล์ไบนารีที่ลงนามแล้ว มัลแวร์ DLL ที่เป็นอันตรายจะถูกโหลดระหว่างการทำงาน ทำให้เกิดการโจมตีอย่างลับๆ ก่อนที่จะเริ่มดำเนินการใดๆ ต่อไป มัลแวร์จะทำการตรวจสอบแบบต่อต้านแซนด์บ็อกซ์เพื่อหลีกเลี่ยงการตรวจจับในสภาพแวดล้อมการวิเคราะห์ เมื่อการตรวจสอบเหล่านี้ผ่านแล้ว มัลแวร์จะติดต่อเซิร์ฟเวอร์ภายนอกเพื่อดึงข้อมูลเพย์โหลดเพิ่มเติม
การใช้งาน STX RAT: เครื่องมืออเนกประสงค์สำหรับการโจมตีหลังการเจาะระบบ
เป้าหมายสูงสุดของปฏิบัติการนี้คือการติดตั้ง STX RAT ซึ่งเป็นโทรจันสำหรับการเข้าถึงระยะไกลที่มีประสิทธิภาพสูง มาพร้อมกับความสามารถในการประมวลผลเครือข่ายเสมือนที่ซ่อนอยู่ (HVNC) และฟังก์ชันการขโมยข้อมูลที่ครอบคลุม
มัลแวร์นี้ช่วยให้ผู้โจมตีสามารถควบคุมระบบที่ติดไวรัสได้อย่างต่อเนื่อง และดำเนินการต่างๆ หลังการเจาะระบบได้มากมาย รวมถึง:
- การเรียกใช้ไฟล์ EXE, DLL, สคริปต์ PowerShell และเชลล์โค้ดในหน่วยความจำ
- การพร็อกซีแบบย้อนกลับและการสร้างอุโมงค์เครือข่าย
- การโต้ตอบและการเฝ้าระวังผ่านเดสก์ท็อประยะไกล
ความสามารถดังกล่าวทำให้ STX RAT เป็นอันตรายอย่างยิ่งทั้งในสภาพแวดล้อมส่วนบุคคลและระดับองค์กร
ความซ้ำซ้อนของแคมเปญ: ลิงก์ไปยังการโจมตี FileZilla ครั้งก่อนๆ
จากการวิเคราะห์พบว่าโครงสร้างพื้นฐานการควบคุมและสั่งการ (C2) ที่ใช้ในเหตุการณ์นี้เคยเกี่ยวข้องกับแคมเปญแยกต่างหากที่เกี่ยวข้องกับโปรแกรมติดตั้ง FileZilla ที่ติดมัลแวร์ การนำการกำหนดค่าเซิร์ฟเวอร์และโดเมนการสื่อสารเดียวกันมาใช้ซ้ำ แสดงให้เห็นอย่างชัดเจนถึงการทำงานที่ทับซ้อนกันระหว่างสองแคมเปญนี้
การใช้กลยุทธ์ เทคนิค และโครงสร้างพื้นฐานซ้ำๆ เช่นนี้ ทำให้ได้ข้อมูลที่เป็นประโยชน์สำหรับการตรวจจับและการระบุแหล่งที่มา
การดำเนินงานระยะยาว: แผนงานแคมเปญ 10 เดือน
จากการตรวจสอบเพิ่มเติมพบว่า การละเมิด CPUID เป็นส่วนหนึ่งของแคมเปญที่กว้างขวางกว่า ซึ่งเริ่มต้นในเดือนกรกฎาคม 2025 ตัวอย่างมัลแวร์ที่เก่าที่สุดที่รู้จัก ซึ่งระบุว่าเป็น 'superbad.exe' ถูกพบว่าสื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการที่ 95.216.51.236
ผู้เชี่ยวชาญด้านความปลอดภัยประเมินว่าผู้ก่อภัยคุกคามน่าจะเป็นผู้ที่พูดภาษารัสเซีย และอาจมีแรงจูงใจทางการเงิน หรือทำหน้าที่เป็นตัวกลางในการเข้าถึงระบบในขั้นต้น ซึ่งเป็นหน่วยงานที่เชี่ยวชาญในการเข้าถึงระบบและขายสิทธิ์การเข้าถึงนั้นให้กับอาชญากรไซเบอร์รายอื่น
การประเมินผลกระทบ: ขอบเขตทั่วโลกและผู้ประสบภัยที่หลากหลาย
การโจมตีครั้งนี้ส่งผลกระทบต่อเหยื่อที่ได้รับการยืนยันแล้วกว่า 150 ราย ส่วนใหญ่เป็นผู้ใช้งานรายบุคคล อย่างไรก็ตาม องค์กรในหลายอุตสาหกรรมก็ได้รับผลกระทบเช่นกัน รวมถึงภาคค้าปลีก การผลิต การให้คำปรึกษา โทรคมนาคม และการเกษตร
ในเชิงภูมิศาสตร์ การติดเชื้อส่วนใหญ่พบในบราซิล รัสเซีย และจีน ซึ่งบ่งชี้ถึงกลยุทธ์การกำหนดเป้าหมายที่กว้างขวางและฉวยโอกาส
จุดอ่อนในการปฏิบัติงาน: ข้อผิดพลาดที่นำไปสู่การตรวจพบ
แม้ว่าการโจมตีจะมีขนาดใหญ่ แต่ความล้มเหลวในการรักษาความปลอดภัยในการปฏิบัติงานหลายประการได้บั่นทอนประสิทธิภาพของผู้โจมตีอย่างมาก การนำห่วงโซ่การติดเชื้อ เพย์โหลด STX RAT และโดเมนควบคุมสั่งการที่เหมือนกันจากแคมเปญก่อนหน้านี้มาใช้ซ้ำ ทำให้การติดตามและเชื่อมโยงกิจกรรมทำได้ง่ายขึ้น
ข้อบกพร่องเหล่านี้บ่งชี้ว่าการพัฒนาและการใช้งานมัลแวร์นั้นค่อนข้างไม่ซับซ้อน ส่งผลให้ฝ่ายป้องกันสามารถตรวจจับการโจมตีแบบ Watering Hole ได้อย่างรวดเร็วหลังจากเริ่มต้น ทำให้ผลกระทบโดยรวมและช่วงเวลาที่เสี่ยงต่อการถูกโจมตีลดลง
