攻撃者は**CPUID**プロジェクトに関連するAPIへの不正アクセスを獲得し、公式ウェブサイト上の操作されたダウンロードリンクを通じてマルウェアの配布につながりました。影響を受けたソフトウェアには、ハードウェア監視やシステム仕様分析に何百万人ものユーザーが依存している、広く使用されている**CPU-Z**および**HWMonitor**ツールが含まれます。 ### トロイの木馬化されたダウンロード Reddit上で、公式ダウンロードポータルがユーザーを**Cloudflare** R2ストレージサービスにリダイレクトし、別のベンダーが開発した診断および監視ツールである**HWiNFO**のトロイの木馬化されたバージョンを提供しているという報告が浮上しました。 `HWiNFO_Monitor_Setup`と名付けられた悪意のあるファイルは、Inno Setupでラップされたロシアのインストーラーを起動するなど、不審な動作を示しています。これは通常のインストールプロセスから逸脱しており、重大な警告信号となります。 ユーザーは、そのURLから直接正規の`hwmonitor_1.63.exe`をダウンロードすることは可能であり、元のバイナリが直接侵害されたわけではないことを示唆していると指摘しました。しかし、配布リンクは悪意のあるペイロードを提供するように明確に汚染されていました。 ### 高度なローダー Igor’s Labsおよび@vxundergroundのセキュリティ研究者は、外部化されたダウンロードチェーンを確認し、既知のTTPs（Techniques, Tactics, and Procedures）を採用した洗練されたローダーの関与を強調しました。 > 「これを棒でつつき始めたとき、これは典型的なありふれたマルウェアではないことに気づきました。」 > 「このマルウェアは深くトロイの木馬化されており、侵害されたドメイン（cpuid-dot-com）から配布され、ファイルマスキングを実行し、マルチステージで動作し、（ほぼ）完全にメモリ内で動作し、.NETアセンブリからNTDLLの機能をプロキシするなど、EDRや/またはAVを回避するための興味深い方法を使用しています。」 ### 広範に使用されているユーティリティの標的化 同じ脅威グループが先月**FileZilla** FTPソリューションのユーザーを標的にしていたと疑われており、影響を最大化するために広く採用されているユーティリティを標的にするパターンを示しています。 悪意のあるZIPアーカイブは**VirusTotal**の複数のアンチウイルスエンジンによってフラグが立てられており、一部はTedy TrojanまたはArtemis Trojanとして識別しています。一部の研究者は、偽の**HWiNFO**バリアントを情報窃取者と評価しています。 ### CPUIDの対応 **CPUID**は、侵害を認める声明を発表しました。 > 「調査はまだ進行中ですが、4月9日から10日の約6時間の間、二次的な機能（基本的にサイドAPI）が侵害され、メインウェブサイトがランダムに悪意のあるリンクを表示したようです（署名された元のファイルは侵害されていません）。侵害は発見され、その後修正されました。」 - **CPUID** **CPUID**はまた、インシデントがメイン開発者が休暇中に発生したことを指摘しました。 現在、**CPUID**は問題を解決したと主張しており、**CPU-Z**と**HWMonitor**の両方のクリーンなバージョンを配布しています。