Короткочасний, але показовий інцидент із сайтом CPUID (cpuid.com) продемонстрував, наскільки небезпечними можуть бути атаки на ланцюг постачання програмного забезпечення. Впродовж менш ніж доби користувачі, які завантажували популярні утиліти CPU‑Z та HWMonitor, отримували неочікуваний «бонус» – троян віддаленого доступу STX RAT.
Компрометація сайту CPUID та підміна завантажень CPU‑Z
За даними вендора та дослідників, інцидент тривав орієнтовно з 9 квітня 15:00 UTC до 10 квітня 10:00 UTC. У цей проміжок офіційні посилання завантаження CPU‑Z і HWMonitor на сайті CPUID час від часу перенаправляли користувачів на сторонні ресурси зі шкідливими інсталяторами замість легітимних файлів.
Представники CPUID у публікації в X (Twitter) підтвердили факт зламу та пов’язали його з компрометацією допоміжного API. Помилка у «вторинному функціоналі» призвела до того, що основний сайт випадковим чином підставляв шкідливі посилання. Важливо, що оригінальні підписані дистрибутиви, які розповсюджуються іншими каналами, змінені не були.
Технічні деталі атаки: троянізовані інсталятори та DLL side-loading
Як повідомляє «Лабораторія Касперського», зловмисники поширювали підроблені версії CPU‑Z і HWMonitor у вигляді ZIP-архівів і самостійних EXE-установників. Усередині містився законний підписаний виконуваний файл утиліти та додаткова бібліотека з назвою CRYPTBASE.dll.
Ця підміна дозволила реалізувати техніку DLL side-loading. Під час запуску легітимний процес замість справжньої системної бібліотеки завантажує підкладену DLL з теки програми. Таким чином шкідливий код виконується в контексті довіреного процесу, що суттєво ускладнює виявлення загрози традиційними антивірусами та засобами моніторингу.
Перед передачею управління основному навантаженню підроблена CRYPTBASE.dll виконує низку анти-песочничних перевірок: аналізує середовище виконання, час роботи, типи процесів, ознаки віртуальних машин і систем аналізу. Лише у разі проходження цих перевірок модуль встановлює з’єднання з командно‑контрольним (C2) сервером і завантажує додаткові компоненти, кінцева мета яких – розгорнути на хості троян STX RAT.
STX RAT: прихований віддалений доступ та розширені можливості атак
В аналізі eSentire STX RAT описується як багатофункціональний троян віддаленого доступу, який поєднує класичні функції RAT та інфостилера. Однією з ключових можливостей є HVNC (Hidden VNC) – прихований віддалений робочий стіл, що дозволяє оператору маніпулювати системою, не показуючи жодних вікон або курсора користувачу.
STX RAT підтримує широкий набір команд для постексплуатації: безфайловий запуск EXE, DLL, PowerShell-скриптів і shellcode без запису на диск, створення зворотних проксі та тунелів, інтерактивне керування сесією користувача, ексфільтрацію облікових даних, файлів і іншої конфіденційної інформації. Такий інструментарій робить троян ефективним засобом для подальшого розвитку атаки в мережі організації.
Повторне використання C2‑інфраструктури та зв’язок із троянізованим FileZilla
Дослідники помітили, що в кампанії проти CPUID застосовувалися ті самі домени C2‑серверів і конфігурації підключень, що й у раніших атаках із підробленими інсталяторами FileZilla. Тоді фальшиві збірки клієнта розміщувалися на фішингових сайтах і так само доставляли STX RAT, що раніше докладно описувала Malwarebytes.
За оцінкою «Лабораторії Касперського», повторне використання однієї й тієї ж інфраструктури та ланцюжка зараження стало критичною помилкою операторів STX RAT. Низька операційна безпека полегшила кореляцію інцидентів та дала змогу оперативно виявити й локалізувати водопійну атаку на сайт CPUID.
Масштаб інциденту та цільові регіони
За інформацією «Лабораторії Касперського», вдалося зафіксувати понад 150 скомпрометованих систем. Переважна частина постраждалих – приватні користувачі, однак під удар також потрапили організації з секторів роздрібної торгівлі, виробництва, консалтингу, телекомунікацій та агробізнесу.
Основна географія заражень охопила Бразилію, Росію та Китай. Водночас реальна кількість інфікованих пристроїв може бути суттєво більшою: інцидент був короткочасним, а багато користувачів не перевіряють цілісність завантажень, криптографічні хеші та цифрові підписи файлів.
Як захиститися: рекомендації проти троянізованих інсталяторів
Компрометація CPUID показує, що навіть авторитетні офіційні сайти не гарантують абсолютної безпеки. Водопійні атаки та підміна інсталяторів стають одним з основних каналів поширення RAT, інфостилерів і бекдорів. Для зниження ризиків варто впровадити базові, але системні заходи захисту:
- завантажувати ПЗ лише з офіційних сайтів і перевірених дзеркал, уникаючи сторонніх каталогів і форумів;
- перевіряти цифрову підпис інсталяторів і за можливості звіряти контрольні суми (SHA‑256 тощо), опубліковані розробником;
- використовувати сучасні рішення захисту класу EDR/NGAV, здатні виявляти DLL side-loading та аномальні C2-з’єднання;
- обмежувати привілеї: запускати нові утиліти не від імені адміністратора без крайньої потреби;
- регулярно оновлювати ОС, програми безпеки та засоби контролю запуску додатків.
Історія з CPU‑Z ще раз підкреслює: довіра до джерела завантаження має підкріплюватися технічними перевірками й уважним ставленням до поведінки програм. Компаніям варто переглянути процеси встановлення безкоштовних утиліт, додати перевірку підписів до стандартних процедур і посилити навчання співробітників основам кібергігієни. Звичайним користувачам корисно виробити звичку перевіряти інсталятори та стежити за нетиповою активністю системи – це часто стає останньою лінією оборони перед подібними атаками.
