RTX RAT
Isang insidente sa seguridad na kinasasangkutan ng CPUID ang naglantad sa mga user sa malisyosong software sa pamamagitan ng opisyal nitong website, ang cpuid.com. Sa loob ng wala pang 24 oras, matagumpay na minanipula ng mga aktor ng banta ang mga download link upang ipamahagi ang mga nahawaang bersyon ng malawakang ginagamit na mga tool sa pagsubaybay sa hardware.
Ang kompromiso ay naganap sa pagitan ng Abril 9 ng 3:00 PM UTC at Abril 10 ng 10:00 PM UTC, kung saan ang mga lehitimong link ng installer ay paminsan-minsang pinapalitan ng mga malisyosong pag-redirect. Mahalaga, kinumpirma ng CPUID na nanatiling buo ang orihinal nitong nilagdaang mga binary, dahil ang paglabag ay nag-ugat sa isang pangalawang tampok, na mahalagang isang side API, na naging sanhi ng random na pagpapakita ng website ng mga mapaminsalang link sa halip na baguhin ang mismong core software.
Talaan ng mga Nilalaman
Malisyosong Imprastraktura: Mga Palpak na Domain sa Likod ng Pag-atake
Natukoy sa mga imbestigasyon ng mga mananaliksik sa cybersecurity ang ilang domain na ginagamit upang mag-host at maghatid ng mga trojanized payload. Ang mga rogue website na ito ay gumanap ng mahalagang papel sa pag-redirect ng mga walang kamalay-malay na user sa mga nakompromisong download:
- cahayailmukreatif.web[.]id
- pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
- transitopalermo[.]com
- Vatrobran[.]hr
Ang mga domain na ito ay bahagi ng isang mas malawak na imprastraktura na idinisenyo upang suportahan ang pamamahagi ng malware at mga operasyon ng command-and-control.
Patagong Mekanismo ng Paghahatid: Pag-abuso sa Side-Loading ng DLL
Gumamit ang mga umaatake ng isang kilalang pamamaraan ng pag-iwas na tinatawag na DLL side-loading. Ang mga malisyosong pakete ay ipinamahagi bilang parehong ZIP archives at standalone installers, bawat isa ay naglalaman ng dalawang bahagi: isang lehitimong, nilagdaang executable at isang rogue dynamic link library na pinangalanang 'CRYPTBASE.dll.'
Sa pamamagitan ng pagsasamantala sa tiwala na inilagay sa mga naka-sign na binary, ang malisyosong DLL ay na-load habang isinasagawa, na nagbigay-daan sa palihim na pagkompromiso. Bago simulan ang mga karagdagang aksyon, nagsagawa ang malware ng mga anti-sandbox check upang maiwasan ang pagtuklas sa mga analysis environment. Nang maipasa ang mga check na ito, nakipag-ugnayan ito sa isang external server upang kumuha ng mga karagdagang payload.
Pag-deploy ng STX RAT: Isang Maraming Gamit na Kasangkapan Pagkatapos ng Pagsasamantala
Ang pangunahing layunin ng kampanya ay ang pag-deploy ng STX RAT, isang malakas na remote access trojan na may mga kakayahan sa hidden virtual network computing (HVNC) at malawak na kakayahan sa pagnanakaw ng datos.
Ang malware na ito ay nagbibigay-daan sa mga umaatake na mapanatili ang patuloy na kontrol sa mga nahawaang sistema at magsagawa ng malawak na hanay ng mga aktibidad pagkatapos ng pagsasamantala, kabilang ang:
- Pagpapatupad sa loob ng memorya ng EXE, DLL, mga script ng PowerShell, at shellcode
- Reverse proxying at network tunneling
- Interaksyon at pagsubaybay sa malayuang desktop
Ang mga ganitong kakayahan ay ginagawang partikular na mapanganib ang STX RAT sa parehong indibidwal at pang-enterprise na kapaligiran.
Pagsasanib ng Kampanya: Mga Link sa Mga Naunang Pag-atake ng FileZilla
Ipinakita ng pagsusuri na ang Command-and-Control (C2) infrastructure na ginamit sa insidenteng ito ay dating iniugnay sa isang hiwalay na kampanya na kinasasangkutan ng mga trojanized installer ng FileZilla. Ang muling paggamit ng parehong mga configuration ng server at mga communication domain ay mariing nagpapahiwatig ng operational overlap sa pagitan ng dalawang kampanya.
Ang pag-uulit na ito ng mga taktika, pamamaraan, at imprastraktura ay nagbigay ng mahahalagang tagapagpahiwatig para sa pagtuklas at pagpapatungkol.
Pangmatagalang Operasyon: Isang 10-Buwang Timeline ng Kampanya
Ipinahihiwatig ng karagdagang imbestigasyon na ang paglabag sa CPUID ay bahagi ng isang mas malawak na kampanya na nagsimula noong Hulyo 2025. Ang pinakaunang kilalang sample ng malware, na kinilala bilang 'superbad.exe,' ay naobserbahang nakikipag-ugnayan sa isang command-and-control server sa 95.216.51.236.
Tinatasa ng mga eksperto sa seguridad na ang aktor ng banta ay malamang na nagsasalita ng Ruso at maaaring may motibasyon sa pananalapi o gumaganap bilang isang initial access broker, isang entity na dalubhasa sa pagkakaroon ng mga pundasyon sa mga sistema at pagbebenta ng access na iyon sa iba pang mga cybercriminal.
Pagtatasa ng Epekto: Pandaigdigang Pag-abot kasama ang Iba't Ibang Biktima
Ang pag-atake ay nakaapekto sa mahigit 150 kumpirmadong biktima, karamihan ay mga indibidwal na gumagamit. Gayunpaman, ang mga organisasyon sa iba't ibang industriya ay nakaranas din ng kompromiso, kabilang ang mga sektor ng tingian, pagmamanupaktura, pagkonsulta, telekomunikasyon, at agrikultura.
Sa heograpiya, ang karamihan sa mga impeksyon ay natukoy sa Brazil, Russia, at China, na nagpapahiwatig ng isang malawak at oportunistang diskarte sa pag-target.
Mga Kahinaan sa Operasyon: Mga Error na Humantong sa Pagtuklas
Sa kabila ng laki ng kampanya, maraming pagkabigo sa seguridad sa operasyon ang lubos na nagpahina sa bisa ng mga umaatake. Ang muling paggamit ng magkakaparehong mga kadena ng impeksyon, mga payload ng STX RAT, at mga domain ng command-and-control mula sa mga naunang kampanya ay nagpadali sa pagsubaybay at pag-ugnay sa aktibidad.
Ang mga kakulangang ito ay nagmumungkahi ng medyo mababang sopistikasyon sa pagbuo at pag-deploy ng malware. Bilang resulta, mabilis na natukoy ng mga tagapagtanggol ang watering hole attack pagkatapos itong simulan, na naglimita sa pangkalahatang epekto at exposure window nito.
