FatalRAT Phishing-angreb
Industrielle organisationer på tværs af Asien-Stillehavsområdet (APAC) er blevet fokus for en sofistikeret phishing-kampagne, der har til formål at levere FatalRAT-truslen. Operationen, omhyggeligt orkestreret af cyberkriminelle, er afhængig af legitime kinesiske cloud-tjenester, såsom myqcloud og Youdao Cloud Notes, for at lette dens angrebsinfrastruktur. Angriberne unddrager sig effektivt opdagelse og forlænger deres indtrængen ved at implementere et multi-trins nyttelastleveringssystem.
Indholdsfortegnelse
Højværdimål i kritiske sektorer
Kampagnen har rettet sig mod statslige enheder og større industrier, herunder fremstilling, byggeri, IT, telekommunikation, sundhedspleje, el, energi, logistik og transport. Listen over berørte regioner spænder over Taiwan, Malaysia, Kina, Japan, Thailand, Sydkorea, Singapore, Filippinerne, Vietnam og Hong Kong.
Sprogspecifikke lokker for maksimal effekt
Analyse af phishing-e-mail-vedhæftninger viser, at kampagnen primært er rettet mod kinesisktalende personer. Denne tilgang antyder en kalkuleret indsats for at bryde organisationer, hvor mandarin er det dominerende sprog, hvilket sikrer en højere sandsynlighed for succes.
Udviklingen af FatalRATs distributionsmetoder
FatalRAT har tidligere været forbundet med forskellige distributionsmetoder. Tidligere kampagner udnyttede falske Google Ads til at sprede truslen. I september 2023 dokumenterede forskere endnu en phishing-kampagne, der distribuerede FatalRAT sammen med andre trusler såsom Gh0st RAT, Purple Fox og ValleyRAT .
Forbindelser til Silver Fox APT
Nogle af disse kampagner er blevet tilskrevet Silver Fox APT, en trusselsaktør kendt for at målrette kinesisktalende brugere og japanske organisationer. Denne forbindelse understreger yderligere de potentielle geopolitiske motiver bag disse angreb.
Angrebskæden: Fra phishing-e-mail til fuldstændigt kompromis
Angrebet starter med en phishing-e-mail, der indeholder et ZIP-arkiv forklædt med et kinesisksproget filnavn. Når det åbnes, lancerer dette arkiv en første-trins-indlæser, der når ud til Youdao Cloud Notes for at hente en DLL-fil og en FatalRAT-konfigurator. Konfiguratoren får til gengæld adgang til en anden Youdao Cloud-note for at udtrække konfigurationsdata, mens den samtidig åbner en lokkefil for at minimere mistanke.
Udnyttelse af DLL Side-Loading for Stealth
Et kritisk træk ved denne kampagne er brugen af DLL-sideindlæsningsteknikker til at fremme infektionssekvensen. Anden trins DLL-indlæser downloader og installerer FatalRAT-nyttelasten fra en ekstern server, der er hostet på myqcloud.com, mens den viser en falsk fejlmeddelelse for at bedrage brugere. Afhængigheden af legitime binære filer gør det muligt for angrebskæden at blande sig med almindelig systemaktivitet, hvilket komplicerer detektionsbestræbelser.
Avanceret undvigelsestaktik i spil
FatalRAT er designet til at genkende virtuelle maskine- og sandkassemiljøer og udfører 17 forskellige kontroller før udførelse. Hvis en kontrol mislykkes, lukker malwaren ned for at undgå analyse. Derudover afslutter den alle forekomster af rundll32.exe-processen og indsamler systemoplysninger, herunder detaljer om installerede sikkerhedsløsninger, før den opretter forbindelse til dens Command-and-Control-server (C2) for yderligere instruktioner.
Et alsidigt og truende værktøj
FatalRAT er udstyret med omfattende funktioner, der giver angribere betydelig kontrol over kompromitterede enheder. Trojaneren kan logge tastetryk, manipulere Master Boot Record (MBR), kontrollere skærmfunktioner, slette browserdata fra Google Chrome og Internet Explorer, installere fjernadgangsværktøjer som AnyDesk og UltraViewer, udføre filhandlinger, aktivere proxyforbindelser og afslutte vilkårlige processer.
Identifikation af trusselskuespilleren bag FatalRAT
Selvom de nøjagtige gerningsmænd forbliver uidentificerede, tyder taktiske ligheder på tværs af flere kampagner på, at disse angreb deler en fælles oprindelse. Forskere mener med medium selvtillid, at en kinesisk-talende trusselsaktør er ansvarlig. Den konsekvente brug af kinesisksprogede tjenester og grænseflader gennem hele angrebscyklussen understøtter yderligere denne teori.
Det større billede: Et værktøj til langsigtet cyberspionage
FatalRATs brede funktionalitet giver cyberkriminelle uendelige muligheder for langvarig infiltration. Evnen til at sprede sig på tværs af netværk, installere yderligere værktøjer, manipulere systemer og eksfiltrere fortrolige data gør det til et formidabelt våben i hænderne på vedvarende angribere. Overlapningen med tidligere angreb og den tilbagevendende brug af kinesisksprogede ressourcer tyder på en velorganiseret kampagne rettet mod spionage og datatyveri.
