知名硬體監控工具CPU-Z與HWMonitor的供應商CPUID,其官方網站cpuid.com遭到駭客入侵,並藉此散布惡意程式,讓原本用來查硬體資訊的軟體,成為感染鏈的入口。這次事件最早由資安研究團隊VX-Underground揭露,他們在社群平台X提到,東部時間(EST)4月10日晚間7時左右、換算成臺灣時間是4月11日上午7時,已有使用者發現CPUID網站出現不正常的下載內容。攻擊者在入侵後,透過偽造的HWMonitor軟體散布惡意程式,研究人員在分析過程中注意到,該惡意程式似乎會針對Chrome相關的IElevation COM介面進行存取與解密嘗試,藉此擷取瀏覽器憑證與密碼資料。雖然編按指出Chrome實際上並沒有IElevation COM介面,相關說法仍有待確認,但足以看出攻擊並非單純的破壞,而是以竊取資料為目標。VX-Underground後續也觀察到,駭客同樣對CPU-Z下手,代表這並不是孤立的誤植檔案,而是一套被設計好的攻擊流程。
從CPUID與多家資安研究的整合資訊來看,此次入侵的規模與手法具有明顯的階段性。CPUID經營者Doc TB在回應中表示,公司初步判斷問題可能出在網站某個API工具遭駭,攻擊者約在4月9日至10日間持續約6小時,造成網站曾出現隨機指向惡意連結的情況。不過,他們也強調,經過簽章的原始檔案並未遭到入侵。資安專家Giuseppe Massaro(N3mes1s)與卡巴斯基則進一步指出,這次事故影響CPUID旗下多種工具,包括CPU-Z、HWMonitor、HWMonitor Pro、PerfMonitor 2,以及PowerMAX+。Massaro表示,駭客試圖散布由Alien RAT衍生的變種木馬與後門程式;更值得注意的是,儘管CPUID已修復網站被竄改下載的問題,攻擊者仍持續運作其控制基礎設施,持續供應VBS有效酬載,並透過儲存桶放置如cpu-z_2.19-en.zip等可疑檔案,同時也使用另一個伺服器qwen1.pages.dev傳送Shellcode。這代表防堵網站內容只是其中一步,駭客仍保有傳遞與落地的通道,讓感染結果可能持續發生在使用者下載後的行為之中。Massaro進一步說明攻擊細節:駭客將惡意的Cryptbase.dll與原本的CPU-Z執行檔以捆綁方式結合,一旦使用者執行CPU-Z,惡意DLL會透過DLL側載啟動多階段感染鏈,先以Zig編譯的代理元件DLL解出Shellcode,並以反射式PE載入處理加密有效酬載;接著透過Cloudflare的DNS-over-HTTPS解析1.1.1.1以迴避DNS監控。後續C2才提供真正的後門,電腦啟動由PowerShell寫成的惡意程式載入器,並在記憶體中以C#編譯有效酬載執行。為了讓後門能持續存在於受害端,攻擊者還濫用MSBuild檔案、工作排程、COM TypeLib挾持,以及PowerShell個人設定檔自動執行等多重機制。
就時間與受影響地區而言,卡巴斯基的說法讓事件的跨區傳播更具輪廓:該公司指出,事故發生時間點落在UTC時間4月9日下午3時至4月10日上午10時之間,換算成臺灣時間為4月9日晚間11時至4月10日下午6時。在這段期間,駭客竄改CPUID網站下載網址,散布另一家資安公司eSentire曾揭露的遠端存取木馬(RAT)程式STX RAT。根據遙測資料,至少有150名用戶受害,雖然多數為一般個人用戶,但也有零售業、製造業、顧問公司、電信公司,以及農業領域的企業組織受到影響。至於國家或地區,卡巴斯基指出以巴西、俄羅斯、中國最為嚴重。最後,文章也提醒讀者關注「同一套基礎設施與程式家族」可能跨事件重複出現:雖然只有卡巴斯基明確提及最終惡意程式是STX RAT,但VX-Underground、Massaro與卡巴斯基都提到,這波攻擊所使用的基礎設施與部分惡意程式,曾在一個月前針對Filezilla用戶的攻擊行動中出現過,而駭客使用的惡意程式後來被eSentire命名為STX RAT。換句話說,這不只是一次單點入侵,而更像是持續運作的攻擊工具鏈在不同目標與下載管道間轉用。
