RTX ЩУР
Інцидент безпеки, пов'язаний з CPUID, викрив користувачів шкідливим програмним забезпеченням через свій офіційний веб-сайт cpuid.com. Протягом менш ніж 24 годин зловмисники успішно маніпулювали посиланнями для завантаження, щоб розповсюджувати заражені версії широко використовуваних інструментів моніторингу обладнання.
Компрометація сталася між 9 квітня о 15:00 UTC та 10 квітня о 10:00 UTC, під час яких легітимні посилання на інсталятор періодично замінювалися шкідливими перенаправленнями. Важливо, що CPUID підтвердив, що його оригінальні підписані бінарні файли залишилися неушкодженими, оскільки порушення виникло через вторинну функцію, по суті, побічний API, яка змушувала веб-сайт випадково відображати шкідливі посилання, а не змінювати саме основне програмне забезпечення.
Зміст
Шкідлива інфраструктура: за атакою стоять шахрайські домени
Розслідування, проведені дослідниками кібербезпеки, виявили кілька доменів, що використовувалися для розміщення та доставки троянських корисних навантажень. Ці шахрайські веб-сайти відіграли центральну роль у перенаправленні нічого не підозрюючих користувачів на скомпрометовані завантаження:
- cahayailmukreativ.web[.]id
- pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
- transitopalermo[.]com
- Ватробран[.]год
Ці домени були частиною ширшої інфраструктури, призначеної для підтримки розповсюдження шкідливого програмного забезпечення та операцій командування та управління.
Прихований механізм доставки: зловживання стороннім завантаженням DLL
Зловмисники використовували добре відомий метод ухилення від кібератаки, який називається завантаженням DLL. Шкідливі пакети розповсюджувалися як у вигляді ZIP-архівів, так і у вигляді окремих інсталяторів, кожен з яких містив два компоненти: легітимний підписаний виконуваний файл та шахрайську динамічну бібліотеку під назвою «CRYPTBASE.dll».
Використовуючи довіру, що надається підписаним бінарним файлам, шкідлива DLL-бібліотека завантажувалася під час виконання, що дозволяло приховану компрометацію. Перш ніж розпочати подальші дії, шкідливе програмне забезпечення проводило перевірки на наявність пісочниці, щоб уникнути виявлення в середовищах аналізу. Після успішного проходження цих перевірок воно зв'язувалося із зовнішнім сервером для отримання додаткових корисних даних.
Розгортання STX RAT: універсальний інструмент після експлуатації
Кінцевою метою кампанії було розгортання STX RAT, потужного трояна віддаленого доступу, оснащеного прихованими можливостями віртуальних мережевих обчислень (HVNC) та розширеним функціоналом крадіжки даних.
Це шкідливе програмне забезпечення дозволяє зловмисникам підтримувати постійний контроль над зараженими системами та виконувати широкий спектр дій після експлуатації, зокрема:
- Виконання EXE, DLL, скриптів PowerShell та шелл-коду в пам'яті
- Зворотне проксування та тунелювання мережі
- Взаємодія з віддаленим робочим столом та спостереження
Такі можливості роблять STX RAT особливо небезпечним як в індивідуальному, так і в корпоративному середовищі.
Перекриття кампаній: посилання на попередні атаки FileZilla
Аналіз показав, що інфраструктура командування та управління (C2), яка використовувалася в цьому інциденті, раніше була пов'язана з окремою кампанією, в якій брали участь інсталятори FileZilla, заражені троянами. Повторне використання тих самих конфігурацій сервера та доменів зв'язку чітко вказує на операційне перекриття між цими двома кампаніями.
Таке повторення тактик, методів та інфраструктури забезпечило цінні показники для виявлення та атрибуції.
Довгострокова операція: 10-місячний графік кампанії
Подальше розслідування показує, що порушення CPUID є частиною ширшої кампанії, яка розпочалася в липні 2025 року. Найдавніший відомий зразок шкідливого програмного забезпечення, ідентифікований як «superbad.exe», був помічений під час зв'язку з командно-контрольним сервером за адресою 95.216.51.236.
Експерти з безпеки оцінюють, що зловмисник, ймовірно, є російськомовним і може бути фінансово мотивованим або функціонувати як посередник початкового доступу – організація, яка спеціалізується на отриманні плацдармів у системах та продажу цього доступу іншим кіберзлочинцям.
Оцінка впливу: Глобальний охоплення з різноманітними жертвами
Атака торкнулася понад 150 підтверджених жертв, переважно індивідуальних користувачів. Однак організації з різних галузей також зазнали компрометації, включаючи роздрібну торгівлю, виробництво, консалтинг, телекомунікації та сільське господарство.
Географічно більшість випадків зараження виявлено в Бразилії, Росії та Китаї, що свідчить про широку та опортуністичну стратегію таргетування.
Операційні недоліки: помилки, що призвели до виявлення
Незважаючи на масштаб кампанії, кілька збоїв в операційній безпеці значно підірвали ефективність зловмисників. Повторне використання ідентичних ланцюгів зараження, корисних навантажень STX RAT та доменів командування та управління з попередніх кампаній полегшило відстеження та співвіднесення активності.
Ці недоліки свідчать про відносно низьку складність практик розробки та розгортання шкідливого програмного забезпечення. Як наслідок, захисники змогли виявити атаку типу «watering hole» швидко після її початку, що обмежило її загальний вплив та вікно впливу.
