FatalRAT фишинг атаки
Индустриалните организации в Азиатско-тихоокеанския регион (APAC) се превърнаха във фокуса на сложна фишинг кампания, насочена към доставяне на заплахата FatalRAT. Операцията, щателно организирана от киберпрестъпници, разчита на легитимни китайски облачни услуги, като myqcloud и Youdao Cloud Notes, за да улесни своята инфраструктура за атаки. Нападателите ефективно избягват откриването и удължават своето проникване, като разгръщат многоетапна система за доставка на полезен товар.
Съдържание
Цели с висока стойност в критични сектори
Кампанията е насочена към правителствени организации и големи индустрии, включително производство, строителство, ИТ, телекомуникации, здравеопазване, енергия, енергетика, логистика и транспорт. Списъкът на засегнатите региони обхваща Тайван, Малайзия, Китай, Япония, Тайланд, Южна Корея, Сингапур, Филипините, Виетнам и Хонконг.
Специфични за езика примамки за максимално въздействие
Анализът на фишинг прикачените имейли показва, че кампанията е насочена предимно към хора, говорещи китайски. Този подход предполага пресметнати усилия за пробиване на организации, в които мандаринът е доминиращият език, осигурявайки по-голяма вероятност за успех.
Еволюцията на методите за разпространение на FatalRAT
FatalRAT е бил свързван с различни методи за разпространение в миналото. Предишни кампании използваха фалшиви Google Ads, за да разпространят заплахата. През септември 2023 г. изследователите документираха друга фишинг кампания, разпространяваща FatalRAT заедно с други заплахи като Gh0st RAT, Purple Fox и ValleyRAT .
Връзки към Silver Fox APT
Някои от тези кампании се приписват на Silver Fox APT, заплаха, известна с насочването си към китайски говорещи потребители и японски организации. Тази връзка допълнително подчертава потенциалните геополитически мотиви зад тези атаки.
Веригата от атаки: от фишинг имейл до пълен компромет
Атаката започва с фишинг имейл, съдържащ ZIP архив, маскиран с име на файл на китайски език. Когато се отвори, този архив стартира програма за зареждане на първи етап, която достига до Youdao Cloud Notes, за да извлече DLL файл и конфигуратор FatalRAT. Конфигураторът от своя страна има достъп до друга бележка на Youdao Cloud, за да извлече конфигурационни данни, като същевременно отваря примамлив файл, за да минимизира подозрението.
Използване на DLL странично зареждане за стелт
Критична характеристика на тази кампания е използването на техники за странично зареждане на DLL за напредване на последователността на заразяване. Вторият етап на зареждане на DLL изтегля и инсталира полезния товар FatalRAT от отдалечен сървър, хостван на myqcloud.com, докато показва фалшиво съобщение за грешка, за да заблуди потребителите. Разчитането на легитимни двоични файлове позволява веригата на атаката да се слее с обичайната системна активност, което усложнява усилията за откриване.
Разширени тактики за избягване в играта
FatalRAT е проектиран да разпознава среди на виртуални машини и пясъчници, като извършва 17 различни проверки преди изпълнение. Ако някоя проверка е неуспешна, зловредният софтуер се изключва, за да избегне анализ. Освен това той прекратява всички екземпляри на процеса rundll32.exe и събира системна информация, включително подробности за инсталираните решения за сигурност, преди да се свърже със своя сървър за командване и управление (C2) за допълнителни инструкции.
Гъвкав и заплашителен инструмент
FatalRAT е оборудван с широки възможности, които дават на нападателите значителен контрол върху компрометирани устройства. Троянският кон може да регистрира натискания на клавиши, да манипулира главния запис за зареждане (MBR), да контролира функциите на екрана, да изтрива данни на браузъра от Google Chrome и Internet Explorer, да инсталира инструменти за отдалечен достъп като AnyDesk и UltraViewer, да изпълнява файлови операции, да активира прокси връзки и да прекратява произволни процеси.
Идентифициране на заплахата зад FatalRAT
Въпреки че точните извършители остават неидентифицирани, тактическите прилики в множество кампании предполагат, че тези атаки имат общ произход. Изследователите смятат, със средна степен на увереност, че е отговорен китайски говорещ актьор за заплаха. Последователното използване на услуги и интерфейси на китайски език през целия цикъл на атака допълнително подкрепя тази теория.
По-голямата картина: Инструмент за дългосрочен кибершпионаж
Широката функционалност на FatalRAT предоставя на киберпрестъпниците безкрайни възможности за дългосрочно проникване. Способността да се разпространява в мрежи, да инсталира допълнителни инструменти, да манипулира системи и да ексфилтрира поверителни данни го прави страхотно оръжие в ръцете на упорити нападатели. Припокриването с предишни атаки и повтарящото се използване на ресурси на китайски език предполагат добре организирана кампания, насочена към шпионаж и кражба на данни.
