Троянизированный CPU-Z, PureLogs и rclone: многоэтапная атака

С 10 по 15 апреля 2026 года специалисты зафиксировали многоэтапную кибератаку, в которой злоумышленник использовал троянизированную версию CPU-Z для запуска цепочки вторжения, кражи учетных данных и масштабной эксфильтрации данных. Инцидент примечателен сочетанием DLL side-loading, внедрения стилера PureLogs, развертывания PureHVNC и сокрытия трафика через QEMU с Alpine Linux. По оценке исследователей, операция демонстрирует высокий уровень подготовки и активное использование living-off-the-land техник.

Как началась атака

Первичный доступ был получен через троянизированный установщик утилиты CPU-Z, предназначенной для работы с аппаратным обеспечением. На первом этапе атаки злоумышленник применил технику DLL side-loading: вместе с установщиком была задействована вредоносная библиотека CRYPTBASE.dll.

Этот этап обеспечил:

• персистентность на скомпрометированном хосте;
• установление связи с сервером управления и контроля C2 по адресу welcome.supp0v3.com;
• подготовку инфраструктуры для последующих стадий атаки.

Кража учетных данных и удаленный доступ

После первоначального заражения в процесс calc.exe был внедрен стилер PureLogs. По данным отчета, это позволило злоумышленнику извлекать учетные данные из изолированных экземпляров браузеров Chrome и Edge с использованием headless-исполнения, что заметно осложняло обнаружение стандартными защитными средствами.

Затем был развернут PureHVNC через InstallUtil.exe, чтобы обеспечить удаленный интерактивный доступ к системе. Инфраструктура PureHVNC использовала малозаметный интерфейс VNC и нестандартные порты связи с C2-сервером, что затрудняло традиционную атрибуцию и выявление трафика.

Экcфильтрация через rclone и QEMU

Наиболее необычной частью операции стала масштабная эксфильтрация данных с помощью rclone — инструмента для работы с файлами в облачных хранилищах. В рамках атаки диск C: скомпрометированного хоста был представлен как WebDAV-ресурс.

Чтобы скрыть активность, весь трафик был маршрутизирован через виртуальную машину QEMU с Alpine Linux. Такой подход позволил эффективно маскировать сетевую активность и существенно усложнил обнаружение канала эксфильтрации.

По данным отчета, процесс передачи данных продолжался около 54 часов. За это время был выведен значительный объем конфиденциальной информации, включая:

• документы;
• учетные данные;
• иные чувствительные данные, подтверждающие серьезный компромисс сети.

Что должно насторожить защитников

Исследователи выделяют ряд индикаторов, на которые стоит обращать внимание службам информационной безопасности:

• загрузка CRYPTBASE.dll из нестандартных директорий;
• подозрительные команды PowerShell с вызовом rclone;
• наличие несанкционированных бинарных файлов QEMU в каталогах, доступных для записи пользователем;
• аномалии в TLS-трафике, выявляемые с помощью JA3-fingerprinting.

Именно JA3-fingerprinting, как отмечается в отчете, может стать особенно полезной мерой защиты: в ходе атаки было зафиксировано уникальное поведение, пригодное для сигнатурного и поведенческого анализа.

Вывод

Инцидент наглядно показывает, насколько сложными становятся современные кибероперации. Злоумышленники все чаще комбинируют легитимные инструменты, сложные многоэтапные сценарии и методы маскировки, чтобы оставаться незамеченными как можно дольше.

По сути, речь идет не просто о заражении одного хоста, а о полномасштабной операции по закреплению, краже данных и скрытой эксфильтрации, рассчитанной на длительное присутствие в инфраструктуре.