В середине апреля 2026 года произошёл серьёзный инцидент, затрагивающий миллионы пользователей по всему миру, от энтузиастов до корпоративных IT-отделов. Злоумышленники скомпрометировали официальный сайт французской компании CPUID, известной своими инструментами для диагностики оборудования CPU-Z и HWMonitor, и подменили установочные файлы. В результате, в течение шести часов пользователи, скачивавшие программы с легитимного ресурса, невольно получали на свои компьютеры сложный троян для удалённого доступа. Этот случай стал ярким примером целенаправленной атаки на цепочку поставок программного обеспечения, где злоумышленники атакуют не конечную цель напрямую, а нарушают процесс распространения доверенного ПО.
Описание
Атака началась 9 апреля примерно в 15:00 по всемирному координированному времени, когда неизвестные получили доступ к внутреннему API сайта cpuid.com. Они изменили конфигурационные данные, отвечающие за генерацию ссылок для скачивания. Вместо указания на серверы разработчика, ссылки стали вести на вредоносные архивы, размещённые на контролируемой злоумышленниками инфраструктуре Cloudflare R2. Пользователь, зашедший на официальный сайт и нажавший кнопку загрузки, получал, к примеру, файл cpu-z_2.19-en.zip. Внутри архива находился подлинный, подписанный цифровой подписью CPUID исполняемый файл, но вместе с ним - вредоносная библиотека CRYPTBASE.dll. Такой метод, известный как DLL side-loading (подмена библиотеки), позволяет вредоносному коду выполниться в контексте доверенного процесса. Когда пользователь запускал CPU-Z, операционная система Windows, следуя порядку поиска библиотек, загружала зловредную CRYPTBASE.dll из папки с программой раньше, чем легитимную версию из системного каталога.
Полезная нагрузка атаки оказалась крайне изощрённой. Как сообщают эксперты, анализировавшие инцидент, жертвы получили на свои системы новый троян для удалённого доступа (RAT), получивший название STX RAT. Его ключевой особенностью является работа почти полностью в оперативной памяти по семиступенчатой цепочке заражения. После выполнения вредоносная библиотека декодирует шелл-код, который, в свою очередь, отражательно загружает в память следующую ступень - зашифрованную библиотеку. Затем троян устанавливает соединение с командным сервером злоумышленников, используя для разрешения доменных имён технологию DNS-over-HTTPS через публичный резолвер Cloudflare 1.1.1.1. Это позволяет эффективно обходить корпоративные системы мониторинга DNS-трафика, которые часто не проверяют зашифрованные HTTPS-запросы.
Для обеспечения долговременного закрепления в системе (persistence) троян использует целых четыре независимых механизма, что значительно усложняет очистку. Он создаёт задание в Планировщике задач Windows, которое выполняется каждые 68 минут и запланировано на 20 лет вперёд. Одновременно добавляется запись в автозагрузку реестра, указывающая на файл проекта MSBuild, замаскированный под системный компонент Microsoft.Build.PackageOptimizer. Третий метод основан на подмене библиотеки типов COM, которая запускает цепочку загрузчиков, а четвёртый - на добавлении скрипта в профиль PowerShell. Такое избыточное дублирование гарантирует, что даже если администратор обнаружит и удалит один из артефактов, троян восстановится с помощью другого. Кроме того, вредонос собирает учётные данные и куки из браузеров, запуская Chrome в качестве дочернего процесса, что может использоваться для кражи сессий или доступа к веб-приложениям.
По данным исследователей, за шестичасовое окно компрометации сайта было зафиксировано более 150 жертв в Бразилии, России и Китае. Среди пострадавших - организации из сферы розничной торговли, производства, консалтинга, телекоммуникаций и сельского хозяйства. Примечательно, что на момент обнаружения только 22 из 77 антивирусных движков детектировали вредоносный архив, что означает, что большинство систем endpoint protection не смогли бы заблокировать эту загрузку. Компания CPUID обнаружила и устранила проблему к 10:00 UTC 10 апреля, однако все, кто скачивал и запускал CPU-Z, HWMonitor, HWMonitor Pro или PerfMonitor с официального сайта в указанный период, должны рассматривать свои системы как потенциально скомпрометированные.
Этот инцидент наглядно демонстрирует уязвимость даже нишевых, но широко распространённых инструментов в цепочке поставок. Атака не требовала фишинга или социальной инженерии против конечного пользователя - доверие к бренду и официальному источнику загрузки сыграло на руку злоумышленникам. Для организаций данный случай служит суровым напоминанием о необходимости строгого контроля за источниками устанавливаемого ПО, даже если речь идёт о доверенных утилитах, а также о важности многослойной защиты, включающей не только сигнатурный антивирус, но и поведенческий анализ, контроль целостности приложений и мониторинг сетевых аномалий, таких как нехарактерные DNS-over-HTTPS запросы или подозрительная активность дочерних процессов.
Индикаторы компрометации
IPv4
- 147.45.178.61
Domains
- ai.supp0v3.com
- cahayailmukreatif.web.id
- cpu-z_2.19-en.zip
- helloworld.supp0v3.com
- pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev
- pub-fd67c956bf8548b7b2cc23bb3774ff0c.r2.dev
- supp0v3.com
- transitopalermo.com
- vatrobran.hr
- welcome.supp0v3.com
URLs
- https://welcome.supp0v3.com/d/callback
- https://welcome.supp0v3.com/d/callback?utm_tag=snip&utm_source=CityOfSin
SHA256
- 49685018878b9a65ced16730a1842281175476ee5c475f608cadf1cdcc2d9524
- 9cdabd70f50dc8c03f0dfb31894d9d5265134a2cf07656ce8ad540c1790fc984
- eff5ece65fb30b21a3ebc1ceb738556b774b452d13e119d5a2bfb489459b4a46
