4 月 9 日至 10 日,CPU-Z、HWMonitor 等常用系统管理工具的官网 cpuid[.]com 遭到入侵,访问者下载到的安装程序被植入木马。卡巴斯基 GReAT 对此次攻击进行分析后发现,影响范围比最初报道的要更深更严重。
卡巴斯基的分析表明,受影响时期大约持续了 19 小时。除了 CPU-Z 和 HWMonitor 之外,HWMonitor Pro 和 PerfMonitor 也被植入了木马。每个安装包都是把合法签名的可执行文件与一个名为 CRYPTBASE.dll 的恶意动态链接库一起分发,通过 DLL 旁加载来执行恶意代码。
攻击者攻破了一个高访问量的供应链目标,但却沿用了已知的基础设施和公开的远程控制木马(RAT),甚至没有改动以规避已有的 YARA 规则。入侵投入很大,隐蔽性几乎为零。
我们的遥测显示有 150 余名受害者——以个人为主,也包括来自零售、制造、咨询、电信和农业等行业的组织。受影响最多的国家为巴西、俄罗斯和中国。
