RTX RAT
CPUID 的官方網站 cpuid.com 發生了一起安全事件,導致用戶面臨惡意軟體感染的風險。在不到 24 小時內,攻擊者成功篡改了下載鏈接,傳播了被感染的常用硬體監控工具版本。
這次攻擊發生在 UTC 時間 4 月 9 日 15:00 至 4 月 10 日 10:00 之間,期間合法的安裝程式連結被間歇性地替換為惡意重定向。值得注意的是,CPUID 確認其原始簽名二進位檔案完好無損,因為此次攻擊源於輔助功能(本質上是一個外部 API),該功能導致網站隨機顯示有害鏈接,而非篡改核心軟體本身。
目錄
惡意基礎設施:攻擊背後的惡意域名
網路安全研究人員的調查發現,有多個網域被用於託管和傳播木馬程式。這些惡意網站在將毫無戒心的用戶重定向到被入侵的下載頁面方面發揮了核心作用:
- cahayailmukreatif.web[.]id
- pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
- transitopalermo[.]com
- Vatrobran[.]hr
這些網域構成了一個更廣泛的基礎設施的一部分,旨在支援惡意軟體分發和命令與控制操作。
隱蔽交付機制:DLL側載重濫用
攻擊者採用了一種名為 DLL 側載重的常見規避技術。惡意軟體包以 ZIP 壓縮包和獨立安裝程式兩種形式分發,每種形式都包含兩個元件:一個合法的、已簽署的可執行檔和一個名為「CRYPTBASE.dll」的惡意動態連結函式庫。
透過利用使用者對已簽署二進位檔案的信任,惡意DLL在執行過程中被加載,從而實現隱蔽入侵。在採取進一步行動之前,該惡意軟體會進行反沙箱檢查,以避免在分析環境中被偵測到。一旦通過這些檢查,它就會聯繫外部伺服器以獲取更多有效載荷。
STX RAT部署:一款多功能的後滲透工具
這項行動的最終目標是部署 STX RAT,這是一款功能強大的遠端存取木馬,具備隱藏虛擬網路運算 (HVNC) 功能和廣泛的資料竊取功能。
這種惡意軟體使攻擊者能夠持續控制受感染的系統,並執行各種各樣的後滲透活動,包括:
- 在記憶體中執行 EXE、DLL、PowerShell 腳本和 shellcode
- 反向代理和網路隧道
- 遠端桌面互動和監控
這些功能使得 STX RAT 在個人和企業環境中都具有特別高的危險性。
攻擊活動重疊:與先前的 FileZilla 攻擊事件有關
分析顯示,本次事件中使用的命令與控制(C2)基礎設施先前曾與另一起涉及FileZilla木馬安裝程式的攻擊活動有關。重複使用相同的伺服器配置和通訊域強烈表明,這兩次攻擊活動存在操作上的重疊。
戰術、技術和基礎設施的重複使用為檢測和歸因提供了有價值的指標。
長期行動:為期 10 個月的活動時間表
進一步調查表明,CPUID 漏洞是始於 2025 年 7 月的更廣泛攻擊活動的一部分。已知最早的惡意軟體樣本被識別為“superbad.exe”,它被發現與 95.216.51.236 的命令與控制伺服器通訊。
安全專家評估認為,該威脅行為者很可能會講俄語,其動機可能是經濟利益,或者可能是初始訪問經紀人,該實體專門獲取系統立足點並將該訪問權限出售給其他網路犯罪分子。
影響評估:全球範圍及各類受害者
這次攻擊已確認造成超過150名受害者,其中絕大多數為個人用戶。然而,包括零售、製造、諮詢、電信和農業等多個行業的組織機構也遭受了損失。
從地理分佈上看,大多數感染病例出現在巴西、俄羅斯和中國,這表明採取了廣泛且機會主義的攻擊策略。
操作缺陷:導致被發現的錯誤
儘管這次攻擊活動規模龐大,但多項安全操作失誤嚴重削弱了攻擊者的效能。重複使用先前攻擊活動中相同的感染鏈、STX RAT 有效載荷和命令控制域,使得此次攻擊活動更容易被追蹤和關聯。
這些缺陷顯示惡意軟體的開發和部署技術相對落後。因此,防禦者能夠在水坑攻擊發動後迅速偵測到它,從而限制了其整體影響範圍和暴露時間。
