Atacs de pesca FatalRAT
Les organitzacions industrials de la regió Àsia-Pacífic (APAC) s'han convertit en el focus d'una sofisticada campanya de pesca destinada a lliurar l'amenaça FatalRAT. L'operació, minuciosament orquestrada pels ciberdelinqüents, es basa en serveis de núvol xinesos legítims, com myqcloud i Youdao Cloud Notes, per facilitar la seva infraestructura d'atac. Els atacants evaden eficaçment la detecció i prolonguen la seva intrusió mitjançant el desplegament d'un sistema de lliurament de càrrega útil en diverses etapes.
Taula de continguts
Objectius d’alt valor en sectors crítics
La campanya s'ha centrat en les entitats governamentals i les principals indústries, com ara la fabricació, la construcció, les TI, les telecomunicacions, la sanitat, l'energia, l'energia, la logística i el transport. La llista de regions afectades abasta Taiwan, Malàisia, Xina, Japó, Tailàndia, Corea del Sud, Singapur, Filipines, Vietnam i Hong Kong.
Esquers específics per a l’idioma per al màxim impacte
L'anàlisi dels fitxers adjunts de correu electrònic de pesca indica que la campanya s'adreça principalment a persones que parlen xinès. Aquest enfocament suggereix un esforç calculat per infringir les organitzacions on el mandarí és la llengua dominant, assegurant una major probabilitat d'èxit.
L’evolució dels mètodes de distribució de FatalRAT
FatalRAT ha estat vinculat a diversos mètodes de distribució en el passat. Les campanyes anteriors van aprofitar Google Ads falsos per difondre l'amenaça. El setembre de 2023, els investigadors van documentar una altra campanya de pesca que distribuïa FatalRAT juntament amb altres amenaces com Gh0st RAT, Purple Fox i ValleyRAT .
Connexions a l’APT Silver Fox
Algunes d'aquestes campanyes s'han atribuït a Silver Fox APT, un actor d'amenaces conegut per dirigir-se a usuaris de parla xinesa i organitzacions japoneses. Aquesta connexió emfatitza encara més els possibles motius geopolítics darrere d'aquests atacs.
La cadena d’atac: del correu electrònic de pesca al compromís total
L'atac comença amb un correu electrònic de pesca que conté un arxiu ZIP disfressat amb un nom de fitxer en xinès. Quan s'obre, aquest arxiu llança un carregador de primera etapa que arriba a Youdao Cloud Notes per recuperar un fitxer DLL i un configurador FatalRAT. El configurador, al seu torn, accedeix a una altra nota de Youdao Cloud per extreure dades de configuració alhora que obre un fitxer d'engany per minimitzar les sospites.
Aprofitant la càrrega lateral de DLL per a Stealth
Una característica crítica d'aquesta campanya és l'ús de tècniques de càrrega lateral de DLL per avançar en la seqüència d'infecció. El carregador DLL de la segona etapa descarrega i instal·la la càrrega útil FatalRAT des d'un servidor remot allotjat a myqcloud.com mentre mostra un missatge d'error fals per enganyar els usuaris. La dependència dels binaris legítims permet que la cadena d'atac es fusioni amb l'activitat habitual del sistema, cosa que complica els esforços de detecció.
Tàctiques d’evasió avançades en joc
FatalRAT està dissenyat per reconèixer entorns de màquines virtuals i sandbox, realitzant 17 comprovacions diferents abans d'executar-les. Si alguna comprovació falla, el programari maliciós s'atura per evitar l'anàlisi. A més, finalitza totes les instàncies del procés rundll32.exe i recopila informació del sistema, inclosos detalls sobre les solucions de seguretat instal·lades, abans de connectar-se al seu servidor d'ordres i control (C2) per obtenir instruccions addicionals.
Una eina versàtil i amenaçadora
FatalRAT ve equipat amb àmplies capacitats que atorguen als atacants un control important sobre els dispositius compromesos. El troià pot registrar les pulsacions de tecles, manipular el registre d'arrencada mestre (MBR), controlar les funcions de la pantalla, suprimir dades del navegador de Google Chrome i Internet Explorer, instal·lar eines d'accés remot com AnyDesk i UltraViewer, executar operacions de fitxers, habilitar connexions proxy i finalitzar processos arbitraris.
Identificació de l’actor d’amenaça darrere de FatalRAT
Tot i que els autors exactes segueixen sense identificar-se, les similituds tàctiques en diverses campanyes suggereixen que aquests atacs comparteixen un origen comú. Els investigadors creuen, amb una confiança mitjana, que un actor d'amenaça de parla xinesa és responsable. L'ús coherent de serveis i interfícies en xinès al llarg del cicle d'atac recolza encara més aquesta teoria.
El panorama general: una eina per al ciberespionatge a llarg termini
L'àmplia funcionalitat de FatalRAT ofereix als ciberdelinqüents infinites oportunitats d'infiltració a llarg termini. La capacitat de propagar-se per xarxes, instal·lar eines addicionals, manipular sistemes i exfiltrar dades confidencials el converteix en una arma formidable en mans d'atacants persistents. La superposició amb atacs anteriors i l'ús recurrent de recursos en llengua xinesa suggereixen una campanya ben organitzada dirigida a l'espionatge i al robatori de dades.
