CPU-Z、HWMonitor、HWMonitor Pro、PerfMonitorといった人気のハードウェア監視ツールの開発元である**CPUID**は、同社のウェブサイト（cpuid[.]com）が24時間未満侵害されていたことを確認しました。この期間中、脅威アクターは正規のソフトウェアインストーラーを、STX RATを展開するように設計された悪意のある実行可能ファイルに置き換えました。 ### 攻撃のタイムライン このインシデントは、UTC時間4月9日15:00頃から4月10日10:00頃にかけて発生しました。CPU-ZおよびHWMonitorインストーラーのダウンロードURLが特に標的となり、ユーザーは悪意のあるウェブサイトにリダイレクトされました。 ### CPUIDの対応 **CPUID**はX（旧Twitter）で共有された声明で、侵害を認め、「二次的な機能（基本的にサイドAPI）」の侵害が原因で、メインサイトにランダムに悪意のあるリンクが表示されるようになったと説明しました。同社は、ソフトウェアの署名された元のファイルには影響がなかったことを強調しました。 ### 特定された不正なウェブサイト **Kaspersky**によると、トロイの木馬化されたソフトウェアの配布に使用されたウェブサイトは以下の通りです。 * cahayailmukreatif.web[.]id * pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev * transitopalermo[.]com * vatrobran[.]hr 悪意のあるソフトウェアは、ZIPアーカイブとスタンドアロンインストーラーの両方として配布されました。これらのファイルには、正規の署名付き実行可能ファイルと、「CRYPTBASE.dll」という名前の悪意のあるDLLファイルが含まれていました。このDLLは、DLLサイドローディング技術を利用して悪意のあるコードを実行します。 ### STX RATの展開 悪意のあるDLLは外部サーバーとの通信を開始し、検出を回避するためのアンチサンドボックスチェックを実行した後、追加のpayloadをダウンロードします。最終的な目標は、HVNC（Hidden VNC）機能と広範な情報窃取機能を備えたSTX RATを展開することです。 **eSentire**の分析によると、STX RATは、リモートコントロール、ポストエクスプロイト活動、およびEXE/DLL/PowerShell/shellcodeのインメモリ実行、リバースプロキシ/トンネリング、デスクトップインタラクションを含む後続のpayload実行のための広範なコマンドセットを提供します。 ### 過去のキャンペーンとの関連 この攻撃で使用されたコマンド＆コントロール（C2）サーバーのアドレスと接続設定は、以前に偽のウェブサイトでホストされていたトロイの木馬化された**FileZilla**インストーラーが関与したキャンペーンで観測されていました。この以前の活動は**Malwarebytes**によって文書化されており、STX RATの展開も含まれていました。 ### 影響と被害者 **Kaspersky**は、150人以上の被害者を特定しており、その大半は個人です。しかし、小売、製造、コンサルティング、通信、農業などのセクターの組織も影響を受けています。感染の大部分はブラジル、ロシア、中国に集中しています。 ### 帰属とセキュリティ体制 **Kaspersky**は、攻撃者が以前の**FileZilla**キャンペーンと同じ感染チェーンとC2ドメイン名を再利用したことで、ウォーターホール攻撃の検出が迅速化されたと指摘しました。彼らは、脅威アクターの全体的なマルウェア開発、展開、および運用セキュリティ能力を「かなり低い」と評価しました。