Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware RTX RAT

RTX RAT

Von Mezo in Malware, Tools zur Remoteverwaltung
Übersetzen Sie in:

Ein Sicherheitsvorfall bei CPUID setzte Nutzer über die offizielle Website cpuid.com Schadsoftware aus. Innerhalb von weniger als 24 Stunden gelang es Angreifern, Download-Links zu manipulieren und infizierte Versionen weit verbreiteter Hardware-Überwachungstools zu verbreiten.

Die Sicherheitslücke entstand zwischen dem 9. April um 15:00 Uhr UTC und dem 10. April um 10:00 Uhr UTC. In diesem Zeitraum wurden legitime Installationslinks zeitweise durch schädliche Weiterleitungen ersetzt. CPUID bestätigte, dass die originalen signierten Binärdateien intakt blieben, da die Sicherheitslücke auf einer sekundären Funktion, im Wesentlichen einer separaten API, beruhte. Diese führte dazu, dass die Website zufällig schädliche Links anzeigte, anstatt die Kernsoftware selbst zu verändern.

Schädliche Infrastruktur: Betrügerische Domains hinter dem Angriff

Untersuchungen von Cybersicherheitsforschern identifizierten mehrere Domains, die zum Hosten und Verteilen der Trojaner-Payloads genutzt wurden. Diese betrügerischen Websites spielten eine zentrale Rolle bei der Umleitung ahnungsloser Nutzer zu kompromittierten Downloads:

  • cahayailmukreatif.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transitopalermo[.]com
  • Vatrobran[.]hr

Diese Domänen waren Teil einer umfassenderen Infrastruktur, die zur Unterstützung der Malware-Verbreitung und der Kommando- und Kontrolloperationen entwickelt wurde.

Verdeckter Übertragungsmechanismus: Missbrauch durch seitliches Laden von DLLs

Die Angreifer nutzten eine bekannte Umgehungstechnik namens DLL-Sideloading. Die schädlichen Pakete wurden sowohl als ZIP-Archive als auch als eigenständige Installationsprogramme verbreitet, die jeweils zwei Komponenten enthielten: eine legitime, signierte ausführbare Datei und eine manipulierte dynamische Linkbibliothek namens „CRYPTBASE.dll“.

Durch Ausnutzung des Vertrauens in signierte Binärdateien wurde die schädliche DLL während der Ausführung geladen und so eine unbemerkte Kompromittierung ermöglicht. Bevor die Malware weitere Aktionen ausführte, führte sie Anti-Sandbox-Prüfungen durch, um in Analyseumgebungen nicht entdeckt zu werden. Nach erfolgreichem Bestehen dieser Prüfungen kontaktierte sie einen externen Server, um zusätzliche Schadsoftware abzurufen.

STX RAT-Bereitstellung: Ein vielseitiges Post-Exploitation-Tool

Das Hauptziel der Kampagne war die Verbreitung des STX RAT, eines leistungsstarken Remote-Access-Trojaners, der mit versteckten HVNC-Funktionen (Virtual Network Computing) und umfangreichen Datendiebstahlfunktionen ausgestattet ist.

Diese Schadsoftware ermöglicht es Angreifern, die dauerhafte Kontrolle über infizierte Systeme zu behalten und eine Vielzahl von Aktivitäten nach der Ausnutzung durchzuführen, darunter:

  • Ausführung von EXE-, DLL-, PowerShell-Skripten und Shellcode im Arbeitsspeicher
  • Reverse-Proxying und Netzwerk-Tunneling
  • Fernzugriff auf den Desktop und Überwachung

Aufgrund dieser Fähigkeiten ist STX RAT sowohl im privaten als auch im Unternehmensumfeld besonders gefährlich.

Überschneidungen der Kampagne: Verbindungen zu früheren FileZilla-Angriffen

Die Analyse ergab, dass die in diesem Vorfall verwendete Command-and-Control-Infrastruktur (C2) bereits zuvor mit einer anderen Kampagne in Verbindung gebracht wurde, bei der es um mit Trojanern infizierte FileZilla-Installationsprogramme ging. Die Wiederverwendung derselben Serverkonfigurationen und Kommunikationsdomänen deutet stark auf operative Überschneidungen zwischen den beiden Kampagnen hin.

Diese Wiederholung von Taktiken, Techniken und Infrastrukturen lieferte wertvolle Indikatoren für die Aufdeckung und Zuordnung.

Langfristige Operation: Ein 10-monatiger Kampagnenzeitplan

Weitere Untersuchungen deuten darauf hin, dass der CPUID-Verstoß Teil einer umfassenderen Kampagne ist, die im Juli 2025 begann. Die früheste bekannte Malware-Probe, identifiziert als „superbad.exe“, wurde bei der Kommunikation mit einem Command-and-Control-Server unter der Adresse 95.216.51.236 beobachtet.

Sicherheitsexperten gehen davon aus, dass der Bedrohungsakteur wahrscheinlich russischsprachig ist und möglicherweise finanzielle Motive hat oder als Initial Access Broker fungiert, eine Organisation, die sich darauf spezialisiert hat, sich Zugang zu Systemen zu verschaffen und diesen Zugang an andere Cyberkriminelle zu verkaufen.

Folgenabschätzung: Globale Reichweite mit vielfältigen Opfergruppen

Der Angriff betraf mehr als 150 bestätigte Opfer, überwiegend Einzelnutzer. Allerdings wurden auch Organisationen verschiedenster Branchen kompromittiert, darunter Einzelhandel, Fertigung, Beratung, Telekommunikation und Landwirtschaft.

Geografisch gesehen wurde die Mehrzahl der Infektionen in Brasilien, Russland und China festgestellt, was auf eine breit angelegte und opportunistische Targeting-Strategie hindeutet.

Operative Schwächen: Fehler, die zur Entdeckung führten

Trotz des Umfangs der Kampagne beeinträchtigten mehrere operative Sicherheitslücken die Effektivität der Angreifer erheblich. Die Wiederverwendung identischer Infektionsketten, STX-RAT-Payloads und Command-and-Control-Domains aus früheren Kampagnen erleichterte die Nachverfolgung und Korrelation der Aktivitäten.

Diese Mängel deuten auf eine relativ geringe Komplexität der Malware-Entwicklung und -Einsatzmethoden hin. Daher konnten die Verteidiger den Watering-Hole-Angriff kurz nach seinem Beginn erkennen und so seine Auswirkungen und das Angriffsfenster begrenzen.


Im Trend

Am häufigsten gesehen

Wird geladen...