硬體監控工具開發公司CPUID網頁遭入侵，駭客用來散布惡意軟體STX RAT

最早揭露此事的是資安研究團隊VX-Underground，他們在社群網站X指出，東部時間（EST）4月10日晚間7時（臺灣時間4月11日上午7時）有使用者發現CPUID的網站cpuid.com存在惡意軟體，駭客入侵後，透過偽造的HWMonitor軟體散布惡意程式，目的似乎是竊取瀏覽器憑證等各式資料，因為研究人員在分析的過程發現，惡意軟體會試圖針對Chrome的IElevation COM介面，擷取並解密存放的密碼資料。（編按：Chrome並無IElevation COM介面，此處仍有待確認）。後續該團隊發現，駭客也對CPU-Z上下其手。對此，CPUID的經營者Doc TB證實此事，他們初步判斷是網站的某個API工具遭駭，攻擊者約從4月9日至10日入侵約6個小時，導致網站隨機顯示惡意連結。不過，經過該公司簽章的原始檔案，未遭到入侵。

資安專家Giuseppe Massaro（N3mes1s）與資安公司卡巴斯基也揭露進一步的調查細節。Massaro指出，這起事故影響CPUID旗下多種工具的用戶，涵蓋CPU-Z、HWMonitor、HWMonitor Pro、PerfMonitor 2，以及PowerMAX+，駭客試圖散布由Alien RAT衍生的變種木馬與後門程式。值得留意的是，雖然CPUID已修復網站遭到竄改的問題，但駭客控制的基礎設施仍在運作，不僅持續提供VBS有效酬載，並透過R2儲存桶存放有問題的cpu-z_2.19-en.zip；另一個伺服器qwen1.pages.dev，也被繼續用來傳送Shellcode。

Massaro指出，駭客將惡意檔案Cryptbase.dll與原本的CPU-Z執行檔進行捆綁，一旦使用者執行CPU-Z，電腦就會透過DLL側載的方式載入惡意DLL檔案，從而啟動多階段感染鏈。首先，以Zig語言編譯的代理伺服器元件DLL檔，會從特定位置解出Shellcode，然後以反射式PE載入手法啟動經加密處理的有效酬載。為了迴避DNS監控，攻擊者濫用Cloudflare的DNS-over-HTTPS（DoH）解析服務1.1.1.1。

接著，C2才會提供真正的後門程式，電腦啟動以PowerShell寫成的惡意程式載入器，並於記憶體裡以C#編譯有效酬載及執行。為了讓後門能持續於受害電腦活動，駭客濫用了MSBuild檔案、工作排程、COM TypeLib挾持，以及PowerShell個人設定檔自動執行等4重機制。

卡巴斯基揭露其他細節，指出這起事故發生的時間點，在世界協調時間（UTC）4月9日下午3時至10日上午10時（臺灣時間4月9日晚間11時至10日下午6時），駭客竄改CPUID網站的下載網址，散布另一家資安公司eSentire揭露的遠端存取木馬（RAT）程式STX RAT。根據遙測的資料，至少有150名用戶受害，雖然大部分是一般的個人用戶，但也有零售業、製造業、顧問公司、電信公司，以及農業領域的企業組織受到影響。這起事故影響哪些國家或地區？卡巴斯基指出，巴西、俄羅斯、中國的情況最為嚴重。

值得留意的是，雖然只有卡巴斯基提及最終的惡意程式是STX RAT，但是VX-Underground、Massaro、卡巴斯基都不約而同提及，駭客在這波攻擊使用的基礎設施與惡意軟體，部分曾出現在一個月前針對Filezilla用戶的攻擊行動，而駭客使用的惡意程式，後來被eSentire命名為STX RAT。