RTX RAT
CPUID 的官方网站 cpuid.com 发生了一起安全事件,导致用户面临恶意软件感染的风险。在不到 24 小时内,攻击者成功篡改了下载链接,传播了被感染的常用硬件监控工具版本。
此次攻击发生在 UTC 时间 4 月 9 日 15:00 至 4 月 10 日 10:00 之间,期间合法的安装程序链接被间歇性地替换为恶意重定向。值得注意的是,CPUID 确认其原始签名二进制文件完好无损,因为此次攻击源于一个辅助功能(本质上是一个外部 API),该功能导致网站随机显示有害链接,而非篡改核心软件本身。
目录
恶意基础设施:攻击背后的恶意域名
网络安全研究人员的调查发现,有多个域名被用于托管和传播木马程序。这些恶意网站在将毫无戒心的用户重定向到被入侵的下载页面方面发挥了核心作用:
- cahayailmukreatif.web[.]id
- pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
- transitopalermo[.]com
- Vatrobran[.]hr
这些域名构成了一个更广泛的基础设施的一部分,旨在支持恶意软件分发和命令与控制操作。
隐蔽交付机制:DLL侧加载滥用
攻击者采用了一种名为 DLL 侧加载的常见规避技术。恶意软件包以 ZIP 压缩包和独立安装程序两种形式分发,每种形式都包含两个组件:一个合法的、已签名的可执行文件和一个名为“CRYPTBASE.dll”的恶意动态链接库。
通过利用用户对已签名二进制文件的信任,恶意DLL在执行过程中被加载,从而实现隐蔽入侵。在采取进一步行动之前,该恶意软件会进行反沙箱检查,以避免在分析环境中被检测到。一旦通过这些检查,它就会联系外部服务器以获取更多有效载荷。
STX RAT部署:一款多功能的后渗透工具
此次行动的最终目标是部署 STX RAT,这是一款功能强大的远程访问木马,具备隐藏虚拟网络计算 (HVNC) 功能和广泛的数据窃取功能。
这种恶意软件使攻击者能够持续控制受感染的系统,并执行各种各样的后渗透活动,包括:
- 在内存中执行 EXE、DLL、PowerShell 脚本和 shellcode
- 反向代理和网络隧道
- 远程桌面交互和监控
这些功能使得 STX RAT 在个人和企业环境中都具有特别高的危险性。
攻击活动重叠:与之前的 FileZilla 攻击事件有关联
分析显示,本次事件中使用的命令与控制(C2)基础设施此前曾与另一起涉及FileZilla木马安装程序的攻击活动有关。重复使用相同的服务器配置和通信域强烈表明,这两次攻击活动存在操作上的重叠。
战术、技术和基础设施的重复使用为检测和归因提供了有价值的指标。
长期行动:为期 10 个月的活动时间表
进一步调查表明,CPUID 漏洞是始于 2025 年 7 月的更大规模攻击活动的一部分。已知最早的恶意软件样本被识别为“superbad.exe”,它被发现与 95.216.51.236 的命令与控制服务器通信。
安全专家评估认为,该威胁行为者很可能讲俄语,其动机可能是经济利益,或者可能是一个初始访问经纪人,该实体专门获取系统立足点并将该访问权限出售给其他网络犯罪分子。
影响评估:全球范围及各类受害者
此次攻击已确认造成超过150名受害者,其中绝大多数为个人用户。然而,包括零售、制造、咨询、电信和农业等多个行业的组织机构也遭受了损失。
从地理分布上看,大多数感染病例出现在巴西、俄罗斯和中国,这表明采取了广泛且机会主义的攻击策略。
操作缺陷:导致被发现的错误
尽管此次攻击活动规模庞大,但多项安全操作失误严重削弱了攻击者的效能。重复使用先前攻击活动中相同的感染链、STX RAT 有效载荷和命令控制域,使得此次攻击活动更容易被追踪和关联。
这些缺陷表明恶意软件的开发和部署技术相对落后。因此,防御者能够在水坑攻击发起后迅速检测到它,从而限制了其整体影响范围和暴露时间。
