CPUID漏洞通过植入木马的CPU-Z和HWMonitor下载传播STX RAT

不明威胁行为者入侵了 CPUID（“cpuid[.]com”），该网站托管着 CPU-Z、HWMonitor、HWMonitor Pro 和 PerfMonitor 等流行的硬件监控工具，入侵时间不到 24 小时，目的是为该软件提供恶意可执行文件，并部署名为 STX RAT 的远程访问木马。

该事件大约从 4 月 9 日 15:00 UTC 持续到 4 月 10 日 10:00 UTC，CPU-Z 和 HWMonitor 安装程序的下载 URL 被替换为指向恶意网站的链接。

CPUID 在 X 上发布的一篇文章中证实了此次安全漏洞，并将其归咎于“辅助功能（本质上是一个附加 API）”遭到入侵，导致主站点随机显示恶意链接。值得注意的是，此次攻击并未影响其签名后的原始文件。

根据卡巴斯基的说法，这些恶意网站的名称如下：

cahayailmukreatif.web[.]id
pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
transitopalermo[.]com
vatrobran[.]hr

这家俄罗斯网络安全公司表示：“被植入木马的软件以 ZIP 压缩包和上述产品的独立安装程序两种形式分发。这些文件包含一个合法的、经过签名的对应产品的可执行文件，以及一个名为‘CRYPTBASE.dll’的恶意 DLL 文件，该文件利用了 DLL 侧加载技术。”

恶意DLL会联系外部服务器并执行额外的有效载荷，但在此之前，它会先进行反沙箱检查以绕过检测。此次攻击活动的最终目标是部署STX RAT，这是一款具备HVNC（高级虚拟网络控制）和强大信息窃取功能的远程访问木马（RAT）。

eSentire 在上周对该恶意软件的分析中表示，STX RAT“暴露了广泛的命令集，用于远程控制、后续有效载荷执行和后渗透操作（例如，内存中执行 EXE/DLL/PowerShell/shellcode、反向代理/隧道、桌面交互）。”
此次攻击使用的命令与控制 (C2) 服务器地址和连接配置与之前利用托管在虚假网站上的木马化FileZilla 安装程序部署相同远程访问木马 (RAT) 恶意软件的攻击活动相同。Malwarebytes 上月初已记录了该活动。

卡巴斯基表示，已确认超过150名受害者，其中大部分是受此次事件影响的个人。但零售、制造、咨询、电信和农业等行业的企业也受到了影响。大部分感染事件发生在巴西、俄罗斯和中国。

卡巴斯基表示：“攻击者犯下的最严重错误是重复使用了之前攻击中涉及 STX RAT 的感染链以及用于 C2 通信的相同域名，这些都与之前攻击中伪造的 FileZilla 安装程序有关。此次攻击背后的威胁行为者的整体恶意软件开发/部署和运维安全能力相当低下，这也使得我们能够在攻击初期就检测到水坑式入侵。”