Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Троянизированный CPU-Z, PureLogs и rclone: многоэтапная атака

3 мин
С 10 по 15 апреля 2026 года специалисты зафиксировали многоэтапную кибератаку, в которой злоумышленник использовал троянизированную версию CPU-Z для запуска цепочки вторжения, кражи учетных данных и масштабной эксфильтрации данных. Инцидент примечателен сочетанием DLL side-loading, внедрения стилера PureLogs, развертывания PureHVNC и сокрытия трафика через QEMU с Alpine Linux. По оценке исследователей, операция демонстрирует высокий уровень подготовки и активное использование living-off-the-land техник. Первичный доступ был получен через троянизированный установщик утилиты CPU-Z, предназначенной для работы с аппаратным обеспечением. На первом этапе атаки злоумышленник применил технику DLL side-loading: вместе с установщиком была задействована вредоносная библиотека CRYPTBASE.dll. Этот этап обеспечил: После первоначального заражения в процесс calc.exe был внедрен стилер PureLogs. По данным отчета, это позволило злоумышленнику извлекать учетные данные из изолированных экземпляров браузер
Оглавление

С 10 по 15 апреля 2026 года специалисты зафиксировали многоэтапную кибератаку, в которой злоумышленник использовал троянизированную версию CPU-Z для запуска цепочки вторжения, кражи учетных данных и масштабной эксфильтрации данных. Инцидент примечателен сочетанием DLL side-loading, внедрения стилера PureLogs, развертывания PureHVNC и сокрытия трафика через QEMU с Alpine Linux. По оценке исследователей, операция демонстрирует высокий уровень подготовки и активное использование living-off-the-land техник.

Как началась атака

Первичный доступ был получен через троянизированный установщик утилиты CPU-Z, предназначенной для работы с аппаратным обеспечением. На первом этапе атаки злоумышленник применил технику DLL side-loading: вместе с установщиком была задействована вредоносная библиотека CRYPTBASE.dll.

Этот этап обеспечил:

  • персистентность на скомпрометированном хосте;
  • установление связи с сервером управления и контроля C2 по адресу welcome.supp0v3.com;
  • подготовку инфраструктуры для последующих стадий атаки.

Кража учетных данных и удаленный доступ

После первоначального заражения в процесс calc.exe был внедрен стилер PureLogs. По данным отчета, это позволило злоумышленнику извлекать учетные данные из изолированных экземпляров браузеров Chrome и Edge с использованием headless-исполнения, что заметно осложняло обнаружение стандартными защитными средствами.

Затем был развернут PureHVNC через InstallUtil.exe, чтобы обеспечить удаленный интерактивный доступ к системе. Инфраструктура PureHVNC использовала малозаметный интерфейс VNC и нестандартные порты связи с C2-сервером, что затрудняло традиционную атрибуцию и выявление трафика.

Экcфильтрация через rclone и QEMU

Наиболее необычной частью операции стала масштабная эксфильтрация данных с помощью rclone — инструмента для работы с файлами в облачных хранилищах. В рамках атаки диск C: скомпрометированного хоста был представлен как WebDAV-ресурс.

Чтобы скрыть активность, весь трафик был маршрутизирован через виртуальную машину QEMU с Alpine Linux. Такой подход позволил эффективно маскировать сетевую активность и существенно усложнил обнаружение канала эксфильтрации.

По данным отчета, процесс передачи данных продолжался около 54 часов. За это время был выведен значительный объем конфиденциальной информации, включая:

  • документы;
  • учетные данные;
  • иные чувствительные данные, подтверждающие серьезный компромисс сети.

Что должно насторожить защитников

Исследователи выделяют ряд индикаторов, на которые стоит обращать внимание службам информационной безопасности:

  • загрузка CRYPTBASE.dll из нестандартных директорий;
  • подозрительные команды PowerShell с вызовом rclone;
  • наличие несанкционированных бинарных файлов QEMU в каталогах, доступных для записи пользователем;
  • аномалии в TLS-трафике, выявляемые с помощью JA3-fingerprinting.

Именно JA3-fingerprinting, как отмечается в отчете, может стать особенно полезной мерой защиты: в ходе атаки было зафиксировано уникальное поведение, пригодное для сигнатурного и поведенческого анализа.

Вывод

Инцидент наглядно показывает, насколько сложными становятся современные кибероперации. Злоумышленники все чаще комбинируют легитимные инструменты, сложные многоэтапные сценарии и методы маскировки, чтобы оставаться незамеченными как можно дольше.

По сути, речь идет не просто о заражении одного хоста, а о полномасштабной операции по закреплению, краже данных и скрытой эксфильтрации, рассчитанной на длительное присутствие в инфраструктуре.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Троянизированный CPU-Z, PureLogs и rclone: многоэтапная атака".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.