Slevová nabídka pro více licencí
Databáze hrozeb Nástroje pro vzdálenou správu FatalRAT phishingové útoky

FatalRAT phishingové útoky

V roce Mezo v roce Nástroje pro vzdálenou správu
Přeložit do:
Čeština

Průmyslové organizace v asijsko-pacifickém (APAC) regionu se staly středem sofistikované phishingové kampaně zaměřené na doručení hrozby FatalRAT. Operace, pečlivě organizovaná kyberzločinci, se spoléhá na legitimní čínské cloudové služby, jako jsou myqcloud a Youdao Cloud Notes, aby usnadnily její útočnou infrastrukturu. Útočníci se efektivně vyhýbají detekci a prodlužují své narušení nasazením vícefázového systému doručování užitečného zatížení.

Vysoce hodnotné cíle v kritických sektorech

Kampaň se zaměřila na vládní subjekty a hlavní průmyslová odvětví, včetně výroby, stavebnictví, IT, telekomunikací, zdravotnictví, energetiky, energetiky, logistiky a dopravy. Seznam postižených regionů zahrnuje Tchaj-wan, Malajsii, Čínu, Japonsko, Thajsko, Jižní Koreu, Singapur, Filipíny, Vietnam a Hong Kong.

Jazykově specifické návnady pro maximální dopad

Analýza příloh phishingových e-mailů ukazuje, že kampaň cílí především na čínsky mluvící jedince. Tento přístup naznačuje vypočítané úsilí prolomit organizace, kde je dominantním jazykem mandarínština, což zajišťuje vyšší pravděpodobnost úspěchu.

Evoluce distribučních metod FatalRAT

FatalRAT byl v minulosti spojen s různými distribučními metodami. Předchozí kampaně využívaly falešné reklamy Google Ads k šíření této hrozby. V září 2023 výzkumníci zdokumentovali další phishingovou kampaň distribuující FatalRAT spolu s dalšími hrozbami, jako jsou Gh0st RAT, Purple Fox a ValleyRAT .

Připojení k Silver Fox APT

Některé z těchto kampaní byly připsány Silver Fox APT, hrozbě, která je známá tím, že se zaměřuje na čínsky mluvící uživatele a japonské organizace. Toto spojení dále zdůrazňuje potenciální geopolitické motivy těchto útoků.

Řetězec útoků: Od phishingového e-mailu k úplnému kompromisu

Útok začíná phishingovým e-mailem obsahujícím archiv ZIP maskovaný názvem souboru v čínském jazyce. Po otevření tento archiv spustí zavaděč první fáze, který osloví Youdao Cloud Notes, aby načetl soubor DLL a konfigurátor FatalRAT. Konfigurátor zase přistupuje k další poznámce Youdao Cloud, aby extrahoval konfigurační data a současně otevřel soubor návnady, aby se minimalizovalo podezření.

Využití DLL Side-Loading pro Stealth

Kritickým rysem této kampaně je použití technik bočního načítání DLL k urychlení sekvence infekce. Druhá fáze zavaděče DLL stáhne a nainstaluje datovou část FatalRAT ze vzdáleného serveru hostovaného na myqcloud.com, přičemž zobrazí falešnou chybovou zprávu, aby oklamal uživatele. Spoléhání se na legitimní binární soubory umožňuje, aby se řetězec útoků prolnul s běžnou aktivitou systému, což komplikuje snahy o detekci.

Pokročilá úniková taktika ve hře

FatalRAT je navržen tak, aby rozpoznával prostředí virtuálního stroje a karantény a před spuštěním provedl 17 různých kontrol. Pokud některá kontrola selže, malware se vypne, aby se zabránilo analýze. Kromě toho ukončí všechny instance procesu rundll32.exe a shromáždí systémové informace, včetně podrobností o nainstalovaných bezpečnostních řešeních, než se připojí ke svému serveru Command-and-Control (C2) pro další pokyny.

Všestranný a hrozivý nástroj

FatalRAT je vybaven rozsáhlými funkcemi, které útočníkům poskytují významnou kontrolu nad napadenými zařízeními. Trojan může zaznamenávat stisknuté klávesy, manipulovat s hlavním spouštěcím záznamem (MBR), ovládat funkce obrazovky, mazat data prohlížeče z Google Chrome a Internet Explorer, instalovat nástroje pro vzdálený přístup jako AnyDesk a UltraViewer, provádět operace se soubory, povolit připojení proxy a ukončovat libovolné procesy.

Identifikace aktéra hrozby za FatalRAT

Zatímco přesní pachatelé zůstávají neznámí, taktické podobnosti napříč mnoha kampaněmi naznačují, že tyto útoky mají společný původ. Výzkumníci se střední jistotou věří, že za to může čínsky mluvící aktér hrozby. Důsledné používání služeb a rozhraní v čínském jazyce během celého cyklu útoku tuto teorii dále podporuje.

Větší obrázek: Nástroj pro dlouhodobou kybernetickou špionáž

Široká funkčnost FatalRAT poskytuje kyberzločincům nekonečné možnosti dlouhodobé infiltrace. Schopnost šířit se po sítích, instalovat další nástroje, manipulovat se systémy a exfiltrovat důvěrná data z něj dělá impozantní zbraň v rukou vytrvalých útočníků. Překrývání s předchozími útoky a opakované používání čínských zdrojů naznačuje dobře organizovanou kampaň zaměřenou na špionáž a krádeže dat.

Trendy

Nejvíce shlédnuto

Načítání...