В начале апреля 2026 года специалисты по информационной безопасности зафиксировали масштабную атаку на цепочку поставок программного обеспечения компании CPUID. Злоумышленники получили контроль над одним из вспомогательных API официального сайта cpuid.com и использовали его для подмены дистрибутивов популярных утилит - CPU-Z, HWMonitor, HWMonitor Pro, PerfMonitor 2 и powerMAX. Визит на cpuid.com 9 или 10 апреля мог привести к загрузке не официального, а троянизированного пакета.
Описание
Команда разработчиков CPUID оперативно отреагировала на инцидент. Представитель компании Док ТБ рассказал, что скомпрометированное API действовало около шести часов, после чего уязвимость закрыли. Важно отметить, что подлинные цифровые подписи файлов (Sectigo EV) на оригинальных исполняемых модулях не были затронуты - злоумышленники перехватили канал распространения, а не сами бинарники. Вредоносный ZIP-архив, например cpu-z_2.19-en.zip, содержал легитимные исполняемые файлы cpuz_x32.exe и cpuz_x64.exe и подставной CRYPTBASE.dll, который и выполнял функцию загрузчика.
Вредоносная DLL использует технику перехвата порядка загрузки библиотек (DLL sideloading). Когда пользователь запускает cpuz_x64.exe, Windows по пути поиска сначала находит вредоносную CRYPTBASE.dll в папке с программой, а не системную из C:\Windows\System32. Подмена транзитивна: CRYPTBASE.dll загружается через библиотеку ADVAPI32.dll, которая импортирует её как зависимость. После загрузки код создаёт несколько потоков: приостанавливает основной поток CPU-Z, декодирует шелл-код из раздела .rdata (349 килобайт в виде шестнадцатеричных строк, разделённых двоеточием), рефлексивно загружает в память зашифрованную DLL out.dll, которая уже связывается с командным сервером.
Далее следует цепочка исполнения, полностью подтверждённая в песочнице. out.dll разрешает домен C2 через DNS-over-HTTPS (Cloudflare 1.1.1.1), обходя корпоративные фильтры DNS. После получения команд от сервера welcome.supp0v3.com вредонос порождает процесс PowerShell с чтением кода из стандартного ввода, что затрудняет логирование. PowerShell в свою очередь компилирует C#-код с помощью штатного компилятора csc.exe, создаёт на диске файлы для персистентности и устанавливает четыре независимых механизма закрепления в системе: запись в реестр автозапуска MSBuild-файла, скрытое задание в планировщике (каждые 68 минут на 20 лет), перехват COM-объекта через TypeLib с запуском JScript-скрипта, а также автозагрузку профиля PowerShell. Все эти приёмы используют утилиты Microsoft (LOLBins), что затрудняет обнаружение.
Согласно данным VirusTotal, упакованный ZIP-архив детектится 22 антивирусами из 77, а сама DLL - 31 из 76. "Лаборатория Касперского" классифицирует угрозу как Backdoor.Win64.Alien, другие вендоры - как троян. Встроенная конфигурация содержит тег кампании "CityOfSin" и идентификатор "cpz", что позволяет C2 различать жертв из разных каналов доставки.
Масштаб атаки не ограничился продуктами CPUID. Те же индикаторы компрометации (C2-домен supp0v3.com, DLL с аналогичной структурой) обнаружены для утилиты FileZilla (версия 3.69.5, с DLL version.dll) и даже для клиента криптовалютной биржи MEXC. Анализ инфраструктуры злоумышленников через открытые источники позволил установить, что они использовали несколько облачных бакетов Cloudflare R2 для хранения вредоносных архивов, а серверная часть (IP 147.45.178[.]61) размещена во Франкфурте на услуге bulletproof-хостинга. На этом же сервере ранее были обнаружены VBS-скрипты атаки на уязвимость CVE-2023-36025 в браузерах (файлы для LibreOffice и Google Drive). Сертификат TLS сервера оказался поддельным на домен vk.com с российским адресом эмитента, что вместе с выбором хостинга указывает на русскоязычную группировку.
Для пользователей и администраторов безопасности ситуация требует немедленных действий. Тем, кто загружал обновления CPUID 9 или 10 апреля, следует проверить контрольные суммы загруженных файлов. Специалистам стоит заблокировать на DNS и прокси домен supp0v3.com и его поддомены, а также IP-адреса 147.45.178[.]61, 104.21.63[.]112 и 172.67.145[.]101. В корпоративных средах рекомендуется искать в логах процессы PowerShell, запущенные с аргументом "[Console]::In.ReadToEnd()", и файлы c_3791.proj, CommonBuild.proj в папках пользователей. Наличие даже одного из этих признаков - веский повод для полного осмотра рабочей станции, так как закрепление вредоноса охватывает сразу четыре точки входа в систему.
Индикаторы компрометации
IPv4
- 104.18.20.213
- 104.18.21.213
- 104.21.63.112
- 147.45.178.61
- 162.159.36.2
- 172.67.145.101
- 195.154.81.43
- 23.11.33.159
- 23.200.156.138
- 23.200.156.146
- 95.216.51.236
Domains
- 135119.ip-ptr.tech
- ai.supp0v3.com
- download.cpuid.com
- download.documentfoundation.org
- elcome.supp0v3.com
- emily.ns.cloudflare.com
- helloworld.supp0v3.com
- ordertld.com
- pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev
- pub-f3252d8370f34f0d9f3b3c427d3ac33c.r2.dev
- pub-fd67c956bf8548b7b2cc23bb3774ff0c.r2.dev
- qwen1.pages.dev
- supp0v3.com
- welcome.supp0v3.com
URLs
- http://147.45.178.61/file/
- http://147.45.178.61/file/GoogleDriveSetup.vbs
- http://147.45.178.61/file/t10/
- http://147.45.178.61/file/t10/LibreOffice_25.8.4_Win_x86-64.vbs
- https://1.1.1.1/dns-query?name=welcome.supp0v3.com&type=A
- https://1.1.1.1/dns-query?name=welcome.supp0v3.com&type=A]
- https://104.21.63.112/d/callback
- https://172.67.145.101/d/callback
- https://helloworld.supp0v3.com/d/callback
- https://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/cpu-z_2.19-en.zip
- https://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/hwmonitor/HWiNFO_Monitor_Setup.exe
- https://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/hwmonitor_1.63.zip
- https://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/hwmonitor-pro/hwmonitor-pro_1.57.zip
- https://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/hwmonitor-pro/HWMonitorPro_1.57_Setup.exe
- https://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/perfmonitor/perfmonitor-2_2.04.zip
- https://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/perfmonitor/PerfMonitor2_Setup.exe
- https://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/powermax/powermax.exe
- https://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/powermax/powermax_1.00.zip
- https://pub-f3252d8370f34f0d9f3b3c427d3ac33c.r2.dev/cpu-z.zip
- https://pub-f3252d8370f34f0d9f3b3c427d3ac33c.r2.dev/hwmonitor_1.63.zip
- https://pub-fd67c956bf8548b7b2cc23bb3774ff0c.r2.dev/cpu-z_2.19-en.zip
- https://pub-fd67c956bf8548b7b2cc23bb3774ff0c.r2.dev/hwmonitor_1.63.zip
- https://qwen1.pages.dev/continue
- https://qwen1.pages.dev/continue?uid=371803630623&token=PipgANUF...
- https://qwen1.pages.dev/continue?uid=686284849961&token=9oIvxTfx...
- https://welcome.supp0v3.com/
- https://welcome.supp0v3.com/d/callback
- https://welcome.supp0v3.com/d/callback?utm_tag=snip&utm_source=CityOfSin
MD5
- 3b5074b1b5d032e5620f69f9f700ff0e
- 466556e923186364e82cbdb4cad8df2c
- 76ef47c106370a232be021dc2e46cdf7
- 7f3aa71d29bb7534f516d6ca6723ccf4
- 9012602d41cde23297a73c074a413ff6
- a0e9f5d64349fb13191bc781f81f42e1
- c12f54a3f91dc7bafd92cb59fe009a35
- fed973c1f9ef2461a45e956fbbdf8ea9
SHA1
- 7cee7db67985413f22d9424a371336647a987a97
- b3dda9b61f0d7dfadbd23a206cb5d4f06d4eb96b
SHA256
- 02ff4cf4bea26993e4556706bada73fce98284388c57bad31ceb784c4791a703
- 0d5578b212c64d91772a85fd7bf42d23bfb7ab0925be5bea6e72e07ba48dc5c8
- 0d8d759db6c2012210a07ca825b01f727a3a23d615b8dbb4c241b508b2011448
- 1c76af3a9097f50384345237140df78e8b456e4165b0270fdc3a1414413dc64e
- 1f7fa30eefeedfdcaaf0eca7d20d866fd48e5d3e75dbe7e47976bac3c097b271
- 2fe5443d785667344916f4d4684db0666820cd45b7ed4eb3f2e389600bfd2480
- 3455ec49b8dc3743398a20c271194682eba40a67ee3b10549d3e6f837f7499ca
- 3d805bd27ceb641615b755d26092b13c135e1f3eb9f9758cd9df4bd08ace3d2d
- 3d91f442ddc055e15a7e4e8f7f30da43918ce3e12efad69e31e0e0b66be42a91
- 49685018878b9a65ced16730a1842281175476ee5c475f608cadf1cdcc2d9524
- 58814edae4c0adad75f48092c4c2d312901e8a8b6d6aec5ca724c33ca37a5311
- 665cca285680df321b63ad5106b167db9169afe30c17d349d80682837edcc755
- 66ad4aaf260a5173d8eaa14db52629fd361add8b772f6a4bcc5c10328f0cc3c0
- 715330cdb252f972dd073184baef526ade7bf0bdae00eaf3cd51668618c005dd
- 74b5d631cc6802a5790f99a4bfefd9b3dfcfb43007f9fc576f7dfd4eac69d52e
- 7eb3223b9759e6553fdb23f93b384f451af342982a21343735d4349827e5d1a5
- 8071577153e29cc19c93302858bd88a149077c2b89fb439c61e8c278a05e3187
- 8a6c39f97fb86a4ff9dc9226fa8b3445c5fe123abab532ea6afb9be2608780e1
- 8e0077a742183fbcbb4f6cf2fe945ea2ced13a058ccf79f5b81157ededc47e16
- 98e0f9c8f5342c1924b30e8fc694be0a1c9870fa42a5dde1a2abfb32e8e10ab3
- 9932fa8d24b3e9a1e39a722fe6e34e75cdd3feb51fcdab67d636d95b4f068935
- 9cdabd70f50dc8c03f0dfb31894d9d5265134a2cf07656ce8ad540c1790fc984
- a2bea0e6b5e5500b4a26eeabb4a28a643a25bc13b20e5a4b35ca8e48a2e6d88f
- a6afdcc64e697c013ded61d1e1dff950884ac162323a217e04d1b4d0a24bde07
- aec12d6547e34206a72107c90e68db4e4f2cddee77d95480ec67e0fdd2fd5e7a
- b2c45a026a115e60b5908a1f8474ff4acc6e14a64308996e00d16c7c11665216
- b63aa4a754ba2b82811905805822ea7f8c2be44d0d0c12e491237d7f8391ff58
- b7b3560e286ba5f39c019e99face5cfa68cca42cf29bbe2e0f0d1e9626de5c8f
- b7d64d6a9c641855f400949c8c000e1b53b9355fbe3663e41f01e4b80f8eab60
- c3f74b948b902cc641da83fe6535133894ed979a73068e4937c633c9a661e3ce
- cc8d281ee96d60669dfe2353bc8bcb4da5c15ae18aeecce606bcc7e48ac49ce2
- cd7385e7efb41f53002710f4efcedb2c05c4c9f7a2d1a53b6c5ab6be2c26d4f5
- cf0d0b2fd29bf959838dc4af0223d47c5db58195b3d9d1c33dedbf75066631b0
- cfbd87ba199717d907d8c360587fc4704b7813fd4d2cd3829981076319099fcb
- d3bb52e52cb1511da7ee2991a5959004db9e9551280dc80afe90b79ebc5e99c8
- d4ac7b02f1472f4f15a981a2a7ec89e9f35e2e15d9564ad679ac339d0968390e
- d4b7556f00a6d5ea5a47a5aefe267681334167db8c83ba94806da3dfd9fdca79
- e0541fb863142ed515f2e76a2f93babc3b9cf3af1b6d12be57f16a665b4f6406
- e4c6f8ee8c946c6bd7873274e6ed9e41dec97e05890fa99c73f4309b60fd3da4
- eefc0f986dd3ea376a4a54f80ce0dc3e6491165aefdd7d5d6005da3892ce248f
- eff5ece65fb30b21a3ebc1ceb738556b774b452d13e119d5a2bfb489459b4a46
- f8b09fa8c015f15e37c0469b01913a24aaf9e1aaac1afa13364e09b96b53c871
- fd0c4e1b877f8e787b5cd479a408f37238d17a879e2885839b3e108a8d5d6c55
