هجمات التصيد الاحتيالي باستخدام FatalRAT
أصبحت المنظمات الصناعية في مختلف أنحاء منطقة آسيا والمحيط الهادئ (APAC) محور حملة تصيد متطورة تهدف إلى توصيل تهديد FatalRAT. تعتمد العملية، التي تم تنظيمها بدقة من قبل مجرمين إلكترونيين، على خدمات سحابية صينية شرعية، مثل myqcloud وYoudao Cloud Notes، لتسهيل البنية الأساسية للهجوم. يتجنب المهاجمون الكشف بشكل فعال ويطيلون فترة اقتحامهم من خلال نشر نظام تسليم حمولة متعدد المراحل.
جدول المحتويات
أهداف ذات قيمة عالية في القطاعات الحيوية
وتستهدف الحملة الكيانات الحكومية والصناعات الكبرى، بما في ذلك التصنيع والبناء وتكنولوجيا المعلومات والاتصالات والرعاية الصحية والطاقة والخدمات اللوجستية والنقل. وتشمل قائمة المناطق المتضررة تايوان وماليزيا والصين واليابان وتايلاند وكوريا الجنوبية وسنغافورة والفلبين وفيتنام وهونج كونج.
إغراءات خاصة باللغة لتحقيق أقصى قدر من التأثير
يشير تحليل مرفقات رسائل البريد الإلكتروني الاحتيالية إلى أن الحملة تستهدف في المقام الأول الأفراد الناطقين باللغة الصينية. ويشير هذا النهج إلى جهد مدروس لاختراق المنظمات التي تعد لغة الماندرين هي اللغة السائدة فيها، مما يضمن احتمالات أعلى للنجاح.
تطور طرق توزيع FatalRAT
تم ربط FatalRAT بطرق توزيع مختلفة في الماضي. استخدمت الحملات السابقة إعلانات Google المزيفة لنشر التهديد. في سبتمبر 2023، وثق الباحثون حملة تصيد أخرى لتوزيع FatalRAT إلى جانب تهديدات أخرى مثل Gh0st RAT و Purple Fox و ValleyRAT .
الاتصالات مع Silver Fox APT
وقد نُسبت بعض هذه الحملات إلى مجموعة التهديدات المتقدمة المتقدمة Silver Fox، وهي جهة تهديد معروفة باستهداف المستخدمين الناطقين بالصينية والمؤسسات اليابانية. ويؤكد هذا الارتباط على الدوافع الجيوسياسية المحتملة وراء هذه الهجمات.
سلسلة الهجوم: من رسائل التصيد الاحتيالي إلى الاختراق الكامل
يبدأ الهجوم برسالة بريد إلكتروني احتيالية تحتوي على أرشيف ZIP متنكر باسم ملف باللغة الصينية. عند فتح هذا الأرشيف، يقوم بتشغيل محمل المرحلة الأولى الذي يصل إلى Youdao Cloud Notes لاسترداد ملف DLL وبرنامج تكوين FatalRAT. بدوره، يقوم برنامج التكوين بالوصول إلى ملاحظة أخرى من Youdao Cloud لاستخراج بيانات التكوين بينما يفتح في نفس الوقت ملفًا وهميًا لتقليل الشكوك.
الاستفادة من التحميل الجانبي لـ DLL للتخفي
من السمات المهمة لهذه الحملة استخدام تقنيات التحميل الجانبي لملفات DLL لتعزيز تسلسل العدوى. يقوم برنامج تحميل ملفات DLL في المرحلة الثانية بتنزيل الحمولة FatalRAT وتثبيتها من خادم بعيد مستضاف على myqcloud.com مع عرض رسالة خطأ مزيفة لخداع المستخدمين. يسمح الاعتماد على الملفات الثنائية المشروعة لسلسلة الهجوم بالاختلاط بنشاط النظام العادي، مما يعقد جهود الكشف.
تكتيكات التهرب المتقدمة في اللعب
تم تصميم FatalRAT للتعرف على بيئات الآلات الافتراضية وصناديق الحماية، حيث يقوم بإجراء 17 فحصًا مختلفًا قبل التنفيذ. وفي حالة فشل أي فحص، يتم إيقاف تشغيل البرنامج الضار لتجنب التحليل. بالإضافة إلى ذلك، يقوم بإنهاء جميع حالات عملية rundll32.exe ويجمع معلومات النظام، بما في ذلك التفاصيل حول حلول الأمان المثبتة، قبل الاتصال بخادم Command-and-Control (C2) للحصول على مزيد من التعليمات.
أداة متعددة الاستخدامات وخطيرة
يأتي برنامج FatalRAT مزودًا بقدرات واسعة النطاق تمنح المهاجمين سيطرة كبيرة على الأجهزة المخترقة. يمكن لبرنامج Trojan تسجيل ضغطات المفاتيح، والتلاعب بسجل التمهيد الرئيسي (MBR)، والتحكم في وظائف الشاشة، وحذف بيانات المتصفح من Google Chrome وInternet Explorer، وتثبيت أدوات الوصول عن بُعد مثل AnyDesk وUltraViewer، وتنفيذ عمليات الملفات، وتمكين اتصالات الوكيل وإنهاء العمليات التعسفية.
تحديد الجهة المسؤولة عن التهديد الذي يقف وراء FatalRAT
في حين لا يزال الجناة مجهولين، تشير أوجه التشابه التكتيكية عبر الحملات المتعددة إلى أن هذه الهجمات تشترك في أصل مشترك. ويعتقد الباحثون، بثقة متوسطة، أن جهة تهديد ناطقة باللغة الصينية هي المسؤولة. كما أن الاستخدام المستمر للخدمات والواجهات باللغة الصينية طوال دورة الهجوم يدعم هذه النظرية.
الصورة الأكبر: أداة للتجسس الإلكتروني على المدى الطويل
توفر الوظائف الواسعة النطاق لبرنامج FatalRAT لمجرمي الإنترنت فرصًا لا حصر لها للتسلل على المدى الطويل. إن القدرة على الانتشار عبر الشبكات وتثبيت أدوات إضافية والتلاعب بالأنظمة وتسريب البيانات السرية تجعله سلاحًا هائلاً في أيدي المهاجمين الدائمين. يشير التداخل مع الهجمات السابقة والاستخدام المتكرر للموارد باللغة الصينية إلى حملة منظمة جيدًا تهدف إلى التجسس وسرقة البيانات.
