FatalRAT-phishing-hyökkäykset
Teollisuusorganisaatioista Aasian ja Tyynenmeren alueella (APAC) on tullut FatalRAT-uhan torjumiseen tähtäävän kehittyneen tietojenkalastelukampanjan keskipiste. Kyberrikollisten huolella ohjaama operaatio tukeutuu laillisiin kiinalaisiin pilvipalveluihin, kuten myqcloud ja Youdao Cloud Notes, helpottaakseen hyökkäysinfrastruktuuriaan. Hyökkääjät välttävät havaitsemisen tehokkaasti ja pidentävät tunkeutumistaan ottamalla käyttöön monivaiheisen hyötykuorman jakelujärjestelmän.
Sisällysluettelo
Arvokkaat tavoitteet kriittisillä sektoreilla
Kampanja on kohdistanut huomionsa valtion yksiköihin ja suuriin teollisuudenaloihin, mukaan lukien valmistus, rakentaminen, IT, televiestintä, terveydenhuolto, sähkö, energia, logistiikka ja kuljetus. Vaikutusalueet kattavat Taiwanin, Malesian, Kiinan, Japanin, Thaimaan, Etelä-Korean, Singaporen, Filippiinit, Vietnamin ja Hongkongin.
Kielikohtaiset vieheet maksimaaliseen vaikutukseen
Tietojenkalasteluviestien liitetiedostojen analyysi osoittaa, että kampanja on suunnattu ensisijaisesti kiinaa puhuville henkilöille. Tämä lähestymistapa viittaa harkittuun pyrkimykseen rikkoa organisaatioita, joissa mandariinikiina on hallitseva kieli, mikä varmistaa suuremman onnistumisen todennäköisyyden.
FatalRATin jakelumenetelmien kehitys
FatalRAT on aiemmin liitetty erilaisiin jakelumenetelmiin. Aiemmissa kampanjoissa käytettiin väärennettyä Google Adsia uhkan levittämiseen. Syyskuussa 2023 tutkijat dokumentoivat toisen tietojenkalastelukampanjan, jossa FatalRAT jaetaan muiden uhkien, kuten Gh0st RAT, Purple Fox ja ValleyRAT , rinnalla.
Liitännät Silver Fox APT:hen
Jotkut näistä kampanjoista on liitetty Silver Fox APT:hen, joka tunnetaan kiinankielisten käyttäjien ja japanilaisten organisaatioiden kohdistamisesta. Tämä yhteys korostaa entisestään näiden hyökkäysten taustalla olevia mahdollisia geopoliittisia motiiveja.
Hyökkäysketju: Tietojenkalasteluviestistä täydelliseen kompromissiin
Hyökkäys alkaa tietojenkalasteluviestillä, joka sisältää kiinankielisellä tiedostonimellä naamioidun ZIP-arkiston. Kun tämä arkisto avataan, se käynnistää ensimmäisen vaiheen latausohjelman, joka ottaa yhteyttä Youdao Cloud Notesiin DLL-tiedoston ja FatalRAT-konfiguraattorin hakemiseksi. Konfiguraattori puolestaan käyttää toista Youdao Cloud -muistiinpanoa poimiakseen määritystiedot ja avaamalla samalla houkutustiedoston epäilysten minimoimiseksi.
DLL-sivulatauksen hyödyntäminen varkain
Tämän kampanjan kriittinen piirre on DLL-sivulataustekniikoiden käyttö tartuntasekvenssin edistämiseksi. Toisen vaiheen DLL-lataaja lataa ja asentaa FatalRAT-hyötykuorman etäpalvelimelta, jota isännöi myqcloud.com, ja näyttää samalla väärennetyn virheilmoituksen käyttäjien huijaamiseksi. Luottaminen laillisiin binääriin mahdollistaa hyökkäysketjun sulautumisen säännölliseen järjestelmän toimintaan, mikä vaikeuttaa havaitsemispyrkimyksiä.
Kehittynyt väistötaktiikka pelissä
FatalRAT on suunniteltu tunnistamaan virtuaalikoneen ja hiekkalaatikkoympäristöt ja suorittaa 17 erilaista tarkistusta ennen suorittamista. Jos jokin tarkistus epäonnistuu, haittaohjelma sammuu analyysin välttämiseksi. Lisäksi se lopettaa kaikki rundll32.exe-prosessin esiintymät ja kerää järjestelmätiedot, mukaan lukien tiedot asennetuista suojausratkaisuista, ennen kuin muodostaa yhteyden Command-and-Control (C2) -palvelimeensa saadakseen lisäohjeita.
Monipuolinen ja uhkaava työkalu
FatalRAT on varustettu laajoilla ominaisuuksilla, jotka antavat hyökkääjille merkittävän hallinnan vaarantuneita laitteita kohtaan. Troijalainen voi kirjata näppäinpainalluksia, manipuloida Master Boot Recordia (MBR), ohjata näytön toimintoja, poistaa selaintietoja Google Chromesta ja Internet Explorerista, asentaa etäkäyttötyökaluja, kuten AnyDesk ja UltraViewer, suorittaa tiedostotoimintoja, ottaa käyttöön välityspalvelinyhteyksiä ja lopettaa mielivaltaisia prosesseja.
FatalRATin takana olevan uhkanäyttelijän tunnistaminen
Vaikka tarkat tekijät jäävät tunnistamatta, useiden kampanjoiden taktiset yhtäläisyydet viittaavat siihen, että näillä hyökkäyksillä on yhteinen alkuperä. Tutkijat uskovat keskinkertaisella varmuudella, että kiinaa puhuva uhkatekijä on vastuussa. Kiinankielisten palvelujen ja rajapintojen johdonmukainen käyttö koko hyökkäyssyklin ajan tukee tätä teoriaa entisestään.
Isompi kuva: työkalu pitkäaikaiseen kybervakoiluun
FatalRATin laaja toiminnallisuus tarjoaa kyberrikollisille loputtomasti mahdollisuuksia pitkäaikaiseen soluttautumiseen. Kyky levitä verkkojen välillä, asentaa lisätyökaluja, manipuloida järjestelmiä ja suodattaa luottamuksellisia tietoja tekee siitä valtavan aseen sitkeiden hyökkääjien käsissä. Päällekkäisyys aikaisempien hyökkäysten kanssa ja toistuva kiinankielisten resurssien käyttö viittaavat hyvin organisoituun kampanjaan, jonka tavoitteena on vakoilu ja tietovarkaukset.
