FatalRAT andmepüügirünnakud
Aasia ja Vaikse ookeani (APAC) piirkonna tööstusorganisatsioonid on muutunud keeruka andmepüügikampaania keskmeks, mille eesmärk on lahendada FatalRAT-i oht. Küberkurjategijate hoolikalt korraldatud operatsioon tugineb oma ründetaristu hõlbustamiseks legitiimsetele Hiina pilveteenustele, nagu myqcloud ja Youdao Cloud Notes. Ründajad väldivad tõhusalt tuvastamist ja pikendavad oma sissetungi, rakendades mitmeastmelise kasuliku koormuse kohaletoimetamise süsteemi.
Sisukord
Suure väärtusega eesmärgid kriitilistes sektorites
Kampaania on võtnud sihiks valitsusasutused ja suuremad tööstusharud, sealhulgas tootmine, ehitus, IT, telekommunikatsioon, tervishoid, energia, energeetika, logistika ja transport. Mõjutatud piirkondade loend hõlmab Taiwani, Malaisia, Hiina, Jaapani, Tai, Lõuna-Korea, Singapuri, Filipiinid, Vietnami ja Hongkongi.
Keelepõhised landid maksimaalse mõju saavutamiseks
Andmepüügimeilide manuste analüüs näitab, et kampaania sihib peamiselt hiina keelt kõnelevaid inimesi. Selline lähenemine viitab kalkuleeritud jõupingutustele rikkuda organisatsioone, kus domineeriv keel on mandariini keel, tagades suurema edu tõenäosuse.
FatalRATi levitamismeetodite areng
FatalRAT-i on minevikus seostatud erinevate levitamismeetoditega. Varasemad kampaaniad kasutasid ohu levitamiseks võltsitud Google Adsi. 2023. aasta septembris dokumenteerisid teadlased veel ühe andmepüügikampaania, mis levitas FatalRAT-i koos teiste ohtudega, nagu Gh0st RAT, Purple Fox ja ValleyRAT .
Ühendused Silver Fox APT-ga
Mõned neist kampaaniatest on omistatud Silver Fox APT-le, mis on hiina keelt kõnelevate kasutajate ja Jaapani organisatsioonide sihtmärgiks tuntud ohutegija. See seos rõhutab veelgi nende rünnakute taga olevaid võimalikke geopoliitilisi motiive.
Rünnaku ahel: andmepüügimeilidest kuni täieliku kompromissini
Rünnak algab andmepüügimeiliga, mis sisaldab hiinakeelse failinimega maskeeritud ZIP-arhiivi. Avamisel käivitab see arhiiv esimese etapi laadija, mis võtab ühendust Youdao Cloud Notesiga, et hankida DLL-fail ja FatalRAT-konfiguraator. Konfiguraator pääseb omakorda juurde teisele Youdao Cloudi märkmele, et eraldada konfiguratsiooniandmed, avades samal ajal kahtluste minimeerimiseks peibutusfaili.
DLL-i külglaadimise kasutamine varjamiseks
Selle kampaania kriitiliseks tunnuseks on DLL-i külglaadimise tehnikate kasutamine nakkusjärjestuse edendamiseks. Teise etapi DLL-laadur laadib alla ja installib FatalRAT-i kasuliku koormuse saidil myqcloud.com majutatud kaugserverist, kuvades samal ajal kasutajate petmiseks võltsitud veateate. Legitiimsetele binaarfailidele tuginemine võimaldab ründeahelal sulanduda tavapärase süsteemitegevusega, raskendades tuvastamist.
Täiustatud kõrvalehoidmistaktika mängus
FatalRAT on loodud tuvastama virtuaalse masina ja liivakasti keskkondi, tehes enne käivitamist 17 erinevat kontrolli. Kui mõni kontroll ebaõnnestub, lülitub pahavara analüüsi vältimiseks välja. Lisaks lõpetab see protsessi rundll32.exe kõik eksemplarid ja kogub süsteemiteavet, sealhulgas üksikasju installitud turbelahenduste kohta, enne kui loob ühenduse oma Command-and-Control (C2) serveriga, et saada täiendavaid juhiseid.
Mitmekülgne ja ähvardav tööriist
FatalRAT on varustatud ulatuslike võimalustega, mis annavad ründajatele olulise kontrolli ohustatud seadmete üle. Trooja saab logida klahvivajutused, manipuleerida Master Boot Record (MBR), juhtida ekraani funktsioone, kustutada brauseri andmeid Google Chrome'ist ja Internet Explorerist, installida kaugjuurdepääsu tööriistu, nagu AnyDesk ja UltraViewer, käivitada failitoiminguid, lubada puhverserveri ühendusi ja lõpetada suvalisi protsesse.
FatalRATi taga ähvardava näitleja tuvastamine
Kuigi täpsed toimepanijad jäävad tuvastamata, viitavad mitme kampaania taktikalised sarnasused sellele, et neil rünnakutel on ühine päritolu. Teadlased usuvad keskmise kindlustundega, et hiina keelt kõnelev ohustaja on vastutav. Hiinakeelsete teenuste ja liideste järjekindel kasutamine kogu rünnakutsükli vältel toetab seda teooriat veelgi.
Suurem pilt: tööriist pikaajaliseks küberspionaažiks
FatalRATi lai funktsionaalsus annab küberkurjategijatele lõputud võimalused pikaajaliseks imbumiseks. Võimalus levida üle võrkude, installida lisatööriistu, manipuleerida süsteemidega ja välja filtreerida konfidentsiaalseid andmeid muudab selle püsivate ründajate käes tohutuks relvaks. Kattuvus varasemate rünnakutega ja hiinakeelsete ressursside korduv kasutamine viitavad hästi organiseeritud spionaažile ja andmete vargustele suunatud kampaaniale.
