ハッカーは、CPUIDプロジェクトのAPIにアクセスし、人気のあるCPU-ZとHWMonitorツールの悪意のある実行可能ファイルを提供するために公式ウェブサイトのダウンロードリンクを変更した。
この2つのユーティリティは、コンピュータ内部のハードウェアの物理的な健全性を追跡したり、システムの包括的な仕様を確認したりするために何百万人ものユーザーを抱えている。
いずれかのツールをダウンロードしたユーザーは、公式ダウンロードポータルがCloudflare R2ストレージサービスを指し、別の開発者による別の診断・監視ツールであるHWiNFOのトロイの木馬化されたバージョンをフェッチすることを、最近Redditで報告した。
悪意のあるファイルの名前はHWiNFO_Monitor_Setupで、これを実行するとInno Setupラッパーを使用したロシア語のインストーラーが起動する。
ユーザーからの報告によると、ダイレクトURLからクリーンなhwmonitor_1.63.exeをダウンロードすることはまだ可能であり、これはオリジナルのバイナリが無傷であることを示しているが、配布リンクは毒されているようだ。
外部化されたダウンロードチェーンは、Igor’s Labsと@vxundergroundによっても確認され、既知の技術、戦術、手順(TTPs)を使用するかなり高度なローダーが関与していることが報告された。
“私がこれを棒でつつき始めたとき、私はこれが典型的なありふれたマルウェアではないことを発見しました “とvxundergroundは述べています。
“このマルウェアは深くトロイの木馬化されており、危険なドメイン(cpuid-dot-com)から配布され、ファイルのマスカレードを実行し、マルチステージ化され、(ほぼ)完全にメモリ内で動作し、.NETアセンブリからNTDLL機能をプロキシするなど、EDRおよび/またはAVを回避するためにいくつかの興味深い方法を使用しています。”
研究者は、同じ脅威グループが先月FileZilla FTPソリューションのユーザーを標的にしたと主張しており、攻撃者が広く使用されているユーティリティに焦点を当てていることを示唆している。
ダウンロードされたZIPは、VirusTotalの20のアンチウイルスエンジンによってフラグが付けられているが、明確には識別されていない。あるものはTedy Trojanと分類し、他のものはArtemis Trojanと分類している。
VirusTotalの研究者の中には、偽のHWiNFO亜種は情報窃取マルウェアであると言う者もいる。
は、何が起こったのか、侵害が発生した日付、影響を受けたバージョン、影響を受けたユーザーがすべきことについて、CPUIDに問い合わせた。広報担当者は次のような声明を発表した。
“調査はまだ進行中ですが、4月9日から4月10日の間の約6時間、セカンダリ機能(基本的にはサイドAPI)が侵害され、メインのウェブサイトに悪意のあるリンクがランダムに表示されたようです(私たちの署名されたオリジナルファイルは侵害されていません)。侵害は発見され、その後修正されました。”- CPUID
同じ人物によると、主要な開発者が休暇で不在の時にハッカーに襲われたとのこと。
Kasperskyの研究者もこの事件を分析し、侵害は4月9日15:00UTCから4月10日10:00UTC頃まで続き、攻撃者は以下のCPUIDソフトウェアの悪意のあるバージョンを配布したと述べている:
- CPU-Z(バージョン2.19)
- HWMonitor Pro(バージョン1.57)
- HWMonitor(バージョン1.63)
- PerfMonitor(バージョン2.04)
修正された亜種には、署名された正規の実行ファイルと、DLLのサイドローディングに使用される「CRYPTBASE.dll」という名前の悪意のあるDLLが含まれていました。
「悪意のあるDLLは、C2(コマンド・アンド・コントロール)接続とペイロードの実行を行います。このDLLは、C2(コマンド・アンド・コントロール)への接続と、さらなるペイロードの実行を行います。これに先立ち、DLLは一連のアンチサンドボックス・チェックを実行し、すべてのチェックに合格すると、C2サーバーに接続します」とカスペルスキーは述べている。
攻撃者は、悪意のあるダウンロードを配信するために偽のFileZillaサイトを使用した3月のキャンペーンで観察されたのと同じC2アドレスと設定を使用したようだ。
最終的なペイロードはSTX RATで、eSentireの研究者が情報窃取機能を持つとして文書化したマルウェアであり、eSentireのYARAルールによって検出された。
カスペルスキーの可視化によると、150人以上のユーザーがCPUIDの悪意のある亜種をダウンロードした。大半は個人であったが、研究者によると、ブラジル、ロシア、中国を中心とした小売業、製造業、コンサルティング業、電気通信業、農業分野の複数の組織も被害者に含まれていたという。
カスペルスキーは、ダウンロードされた悪意のあるファイル、悪意のある DLL、および攻撃に使用された URL について、侵害の指標を提供している。
現在、CPUIDは問題を修正し、CPU-ZとHWMonitorの両方にクリーンバージョンを提供しているようです。
UPDATE [4月11日]: 記事公開後に発表されたカスペルスキーからの情報に基づき、記事を編集しました。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 220px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
Mythosが見つけたものの99%はまだパッチが当てられていない。
AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスした。新たなエクスプロイトの波が押し寄せている。
自律的検証サミット(5月12日、14日)では、自律的でコンテキストに富んだ検証がどのように悪用可能なものを見つけ、コントロールが有効であることを証明し、修復のループを閉じるかをご覧ください。
Comments