حملات فیشینگ FatalRAT

سازمان‌های صنعتی در سراسر منطقه آسیا-اقیانوسیه (APAC) به کانون یک کمپین پیچیده فیشینگ با هدف ارائه تهدید FatalRAT تبدیل شده‌اند. این عملیات که با دقت توسط مجرمان سایبری سازماندهی شده است، برای تسهیل زیرساخت های حمله به سرویس های ابری قانونی چینی مانند myqcloud و Youdao Cloud Notes متکی است. مهاجمان با استقرار یک سیستم تحویل بار چند مرحله ای به طور موثر از شناسایی فرار می کنند و نفوذ خود را طولانی می کنند.

اهداف با ارزش بالا در بخش های بحرانی

هدف این کمپین نهادهای دولتی و صنایع بزرگ از جمله تولید، ساخت و ساز، فناوری اطلاعات، مخابرات، مراقبت های بهداشتی، برق، انرژی، لجستیک و حمل و نقل است. لیست مناطق آسیب دیده شامل تایوان، مالزی، چین، ژاپن، تایلند، کره جنوبی، سنگاپور، فیلیپین، ویتنام و هنگ کنگ است.

فریب های خاص زبان برای حداکثر تاثیر

تجزیه و تحلیل پیوست‌های ایمیل فیشینگ نشان می‌دهد که این کمپین عمدتاً افراد چینی زبان را هدف قرار می‌دهد. این رویکرد تلاش حساب شده ای را برای نقض سازمان هایی که زبان ماندارین زبان غالب است، نشان می دهد و احتمال موفقیت بالاتری را تضمین می کند.

تکامل روش های توزیع FatalRAT

FatalRAT در گذشته به روش های مختلف توزیع مرتبط بوده است. کمپین های قبلی از تبلیغات جعلی گوگل برای انتشار تهدید استفاده می کردند. در سپتامبر 2023، محققان کمپین فیشینگ دیگری را مستند کردند که FatalRAT را در کنار تهدیدهای دیگری مانند Gh0st RAT، Purple Fox و ValleyRAT توزیع می‌کرد.

اتصالات به Silver Fox APT

برخی از این کمپین‌ها به Silver Fox APT نسبت داده می‌شوند، یک بازیگر تهدید که به دلیل هدف قرار دادن کاربران چینی زبان و سازمان‌های ژاپنی شهرت دارد. این ارتباط بیشتر بر انگیزه های ژئوپلیتیک بالقوه پشت این حملات تأکید می کند.

زنجیره حمله: از ایمیل فیشینگ تا سازش کامل

حمله با یک ایمیل فیشینگ حاوی یک آرشیو ZIP مبدل با نام فایل به زبان چینی شروع می شود. پس از باز شدن، این بایگانی یک لودر مرحله اول را راه اندازی می کند که به Youdao Cloud Notes می رسد تا یک فایل DLL و یک پیکربندی کننده FatalRAT را بازیابی کند. پیکربندی به نوبه خود، به یادداشت دیگری از Youdao Cloud دسترسی پیدا می کند تا داده های پیکربندی را استخراج کند، در حالی که به طور همزمان یک فایل فریب را باز می کند تا سوء ظن را به حداقل برساند.

استفاده از DLL Side-Loading برای Stealth

یکی از ویژگی های مهم این کمپین استفاده از تکنیک های بارگذاری جانبی DLL برای پیشبرد توالی عفونت است. لودر DLL مرحله دوم بارگیری FatalRAT را از یک سرور راه دور که در myqcloud.com میزبانی شده است دانلود و نصب می کند در حالی که یک پیام خطای جعلی برای فریب کاربران نمایش می دهد. اتکا به باینری‌های قانونی به زنجیره حمله اجازه می‌دهد تا با فعالیت منظم سیستم ترکیب شود و تلاش‌های شناسایی را پیچیده کند.

تاکتیک های پیشرفته فرار در بازی

FatalRAT برای تشخیص ماشین مجازی و محیط های sandbox طراحی شده است و 17 بررسی مختلف را قبل از اجرا انجام می دهد. اگر هر بررسی ناموفق باشد، بدافزار خاموش می شود تا از تجزیه و تحلیل جلوگیری شود. علاوه بر این، تمام نمونه‌های فرآیند rundll32.exe را خاتمه می‌دهد و اطلاعات سیستم، از جمله جزئیات راه‌حل‌های امنیتی نصب‌شده را قبل از اتصال به سرور Command-and-Control (C2) برای دستورالعمل‌های بیشتر، جمع‌آوری می‌کند.

ابزاری همه کاره و تهدید کننده

FatalRAT مجهز به قابلیت‌های گسترده‌ای است که به مهاجمان کنترل قابل‌توجهی بر دستگاه‌های در معرض خطر می‌دهد. تروجان می‌تواند ضربه‌های کلید را ثبت کند، Master Boot Record (MBR) را دستکاری کند، عملکردهای صفحه را کنترل کند، داده‌های مرورگر را از Google Chrome و اینترنت اکسپلورر حذف کند، ابزارهای دسترسی از راه دور مانند AnyDesk و UltraViewer را نصب کند، عملیات فایل را اجرا کند، اتصالات پراکسی را فعال کند و فرآیندهای دلخواه را خاتمه دهد.

شناسایی بازیگر تهدید در پشت FatalRAT

در حالی که عاملان دقیق ناشناس باقی می مانند، شباهت های تاکتیکی در کمپین های متعدد نشان می دهد که این حملات منشأ مشترکی دارند. محققان با اطمینان متوسط معتقدند که عامل تهدید چینی زبان مسئول است. استفاده مداوم از خدمات و رابط های زبان چینی در طول چرخه حمله بیشتر از این نظریه پشتیبانی می کند.

تصویر بزرگتر: ابزاری برای جاسوسی سایبری طولانی مدت

عملکرد گسترده FatalRAT فرصت های بی پایانی را برای مجرمان سایبری برای نفوذ طولانی مدت فراهم می کند. توانایی پخش در سراسر شبکه‌ها، نصب ابزارهای اضافی، دستکاری سیستم‌ها و استخراج داده‌های محرمانه، آن را به سلاحی قدرتمند در دستان مهاجمان دائمی تبدیل می‌کند. همپوشانی با حملات قبلی و استفاده مکرر از منابع چینی زبان حاکی از یک کمپین به خوبی سازماندهی شده با هدف جاسوسی و سرقت اطلاعات است.