В мире информационной безопасности произошло событие, которое затрагивает не какую-то узкую группу пользователей, а практически весь глобальный технологический сектор. Исследовательская группа Howler Cell Threat Research Team обнаружила целенаправленную и сложную атаку на цепочку поставок, в ходе которой были скомпрометированы официальные страницы загрузки двух крайне популярных диагностических утилит - HWMonitor и CPU-Z от разработчика CPUID. Злоумышленники ненадолго получили контроль над сервисом загрузки и подменяли легальные установочные файлы вредоносными, что привело к потенциальному заражению миллионов компьютеров по всему миру. Инцидент демонстрирует, как атаки на доверенные каналы распространения программного обеспечения становятся излюбленным оружием киберпреступников, стремящихся получить доступ к самым защищённым системам.
Описание
Согласно данным исследования, официальная страница загрузки HWMonitor была взломана и примерно на шесть часов перенаправляла пользователей на поддельный установочный пакет, размещённый на контролируемой злоумышленниками инфраструктуре Cloudflare R2. Аналогичным образом был скомпрометирован и CPU-Z. Разработчик CPUID публично подтвердил факт взлома, отметив, что была атакована вторичная часть их программного интерфейса (API), но оригинальные подписанные файлы остались нетронутыми. Масштаб потенциального воздействия сложно переоценить: только CPU-Z насчитывает десятки миллионов пользователей по всему миру, а HWMonitor является стандартным инструментом для IT-специалистов, системных администраторов, инженеров дата-центров, производителей оборудования и энтузиастов-оверклокеров. Шестичасовое окно для заражения на таком массовом ПО создало исключительные возможности для распространения вредоносного кода.
Механика атаки была выстроена с расчётом на максимальную скрытность и обход традиционных средств защиты. Вредоносный установочный архив содержал, помимо легитимных компонентов, дополнительную библиотеку "cryptbase.dll". При запуске 64-битной версии HWMonitor происходила так называемая подгрузка сторонней DLL (DLL sideloading) - механизм, при котором операционная система, следуя порядку поиска библиотек, загружает зловредный файл из папки приложения вместо легитимного из системного каталога. Это запускало цепочку из пяти последовательных стадий распаковки вредоносного кода, который исполнялся исключительно в оперативной памяти, без записи промежуточных файлов на диск. Подобный подход серьёзно затрудняет форензик-анализ и позволяет ускользнуть от сигнатурных антивирусных систем. Финальная полезная нагрузка была идентифицирована как троян удалённого доступа (RAT) STX, ранее распространявшийся через поддельный установщик FileZilla.
Именно профиль типичного пользователя этих утилит делает данную атаку особенно опасной. HWMonitor и CPU-Z - это не развлекательные приложения, а профессиональные инструменты. Их часто запускают на критически важных системах: серверах, рабочих станциях администраторов, компьютерах для тестирования оборудования. Успешное заражение даёт злоумышленнику доступ именно к тем машинам, где сконцентрированы административные права, ценные учётные данные и чувствительные данные. Согласно отчёту исследователей, троянец способен похищать учётные данные и сессионные куки браузеров (что может обходить многофакторную аутентификацию), ключи криптокошельков, данные менеджеров паролей, а также учётные записи VPN и FTP, открывая путь для перемещения внутри корпоративных сетей. Инфраструктура управления и контроля (C2) атаки использует несколько тегов кампаний, что указывает на активную и сегментированную операцию, нацеленную на разные продукты.
Для специалистов по безопасности данный инцидент служит суровым напоминанием об уязвимости цепочек поставок даже самого проверенного ПО. В качестве первоочередных мер защиты рекомендуется проверить системы, на которых могла быть установлена версия HWMonitor 1.63 в период с 9 по 10 апреля 2026 года. Ключевым индикатором компрометации является наличие файла "cryptbase.dll" в каталоге с приложением, а не в системной папке System32. Также необходимо заблокировать на сетевом уровне домен управления "welcome[.]supp0v3[.]com" и проверить активные сессии и учётные данные на потенциально заражённых машинах, уделив особое внимание привилегированным аккаунтам. Установка строгой практики проверки хеш-сумм SHA-256 для всего загружаемого стороннего ПО, особенно переносных утилит, становится не рекомендацией, а необходимостью.
Атака на CPUID - это не случайность, а закономерный этап эволюции киберугроз. Злоумышленники целенаправленно выбирают цели, которые обеспечивают максимальный охват ценных систем с минимальными усилиями. Компрометация доверенного источника загрузки превращает технически сложную целевую атаку в массовое заражение, ставя под удар ключевых специалистов, отвечающих за безопасность инфраструктуры. Этот случай должен заставить организации пересмотреть подход к использованию portable-утилит и ужесточить контроль за любым программным обеспечением, запускаемым на критически важных активах, вне зависимости от его репутации.
Индикаторы компрометации
Domains
- welcome.supp0v3.com
URLs
- https://welcome.supp0v3.com/d/callback
SHA256
- 02db6764d1f13b837b0a525e5931bdbc67e7a2a4d071e849c7e087255d4a2d5b
- 116d806a5ca6f34fdd04061499daca9a352feb2e3f291c7ef3e5d470fe875f7f
- 1331f19c6732fca81f32c4cec9f89abf26371ed9d3665954f491c89e2c55e5bb
- 52862b538459c8faaf89cf2b5d79c2f0030f79f80a68f93d65ec91f046f05be6
- a27df06c7167eced1ddaeb8adccaa5f60500f52bc7030389eed2a0903cdf8286
- a70645f46eee6d765c54ba4a5c48166bd83bcfbc7771a82be9ed48ab4871ebfa
