התקפות דיוג של FatalRAT

ארגונים תעשייתיים ברחבי אסיה-פסיפיק (APAC) הפכו למוקד של מסע דיוג מתוחכם שמטרתו לספק את איום ה-FatalRAT. הפעולה, שמתוזמרת בקפידה על ידי פושעי סייבר, מסתמכת על שירותי ענן סיניים לגיטימיים, כמו myqcloud ו-Youdao Cloud Notes, כדי להקל על תשתית התקיפה שלו. התוקפים מתחמקים ביעילות מזיהוי ומאריכים את חדירתם על ידי פריסת מערכת מסירת מטענים רב-שלבית.

יעדים בעלי ערך גבוה במגזרים קריטיים

הקמפיין שם את הכוונת על גופים ממשלתיים ותעשיות מרכזיות, כולל ייצור, בנייה, IT, טלקומוניקציה, בריאות, חשמל, אנרגיה, לוגיסטיקה ותחבורה. רשימת האזורים המושפעים משתרעת על טייוואן, מלזיה, סין, יפן, תאילנד, דרום קוריאה, סינגפור, הפיליפינים, וייטנאם והונג קונג.

פתיונות ספציפיים לשפה להשפעה מרבית

ניתוח של קבצי האימייל המצורפים דיוג מצביע על כך שהקמפיין מכוון בעיקר לאנשים דוברי סינית. גישה זו מציעה מאמץ מחושב לפרוץ ארגונים שבהם מנדרינית היא השפה השלטת, מה שמבטיח סבירות גבוהה יותר להצלחה.

האבולוציה של שיטות ההפצה של FatalRAT

FatalRAT נקשר בעבר לשיטות הפצה שונות. מסעות פרסום קודמים מינפו מודעות Google מזויפות כדי להפיץ את האיום. בספטמבר 2023, חוקרים תיעדו קמפיין פישינג נוסף המפיץ את FatalRAT לצד איומים אחרים כמו Gh0st RAT, Purple Fox ו- ValleyRAT .

חיבורים ל-Silver Fox APT

חלק מהקמפיינים הללו יוחסו ל-Silver Fox APT, שחקן איום הידוע כמי שמכוון למשתמשים דוברי סינית וארגונים יפניים. קשר זה מדגיש עוד יותר את המניעים הגיאופוליטיים הפוטנציאליים מאחורי התקפות אלו.

שרשרת ההתקפה: מאימייל דיוג לפשרה מלאה

המתקפה מתחילה באימייל דיוג המכיל ארכיון ZIP מחופש עם שם קובץ בשפה הסינית. כאשר הוא נפתח, ארכיון זה משיק מטעין שלב ראשון שמגיע אל Youdao Cloud Notes כדי לאחזר קובץ DLL ו-FatalRAT Configurator. הקופיגורטור, בתורו, ניגש לפתק נוסף של Youdao Cloud כדי לחלץ נתוני תצורה ובו זמנית פותח קובץ פתיל כדי למזער את החשד.

מינוף טעינת DLL בצד עבור התגנבות

מאפיין קריטי של מסע פרסום זה הוא השימוש בטכניקות טעינת צד של DLL כדי לקדם את רצף ההדבקה. מטעין ה-DLL בשלב השני מוריד ומתקין את מטען FatalRAT משרת מרוחק המתארח ב-myqcloud.com תוך הצגת הודעת שגיאה מזויפת כדי להונות משתמשים. ההסתמכות על קבצים בינאריים לגיטימיים מאפשרת לשרשרת ההתקפה להשתלב בפעילות המערכת הרגילה, מה שמקשה על מאמצי הזיהוי.

טקטיקות התחמקות מתקדמות במשחק

FatalRAT נועד לזהות סביבות מכונות וירטואליות וארגז חול, ביצוע 17 בדיקות שונות לפני הביצוע. אם בדיקה כלשהי נכשלת, התוכנה הזדונית נסגרת כדי למנוע ניתוח. בנוסף, הוא מפסיק את כל המופעים של תהליך rundll32.exe ואוסף מידע מערכת, כולל פרטים על פתרונות אבטחה מותקנים, לפני חיבור לשרת הפקודה והבקרה (C2) שלו לקבלת הוראות נוספות.

כלי רב תכליתי ומאיים

FatalRAT מגיע מצויד ביכולות נרחבות המעניקות לתוקפים שליטה משמעותית במכשירים שנפגעו. הטרויאני יכול לרשום הקשות, לתפעל את רשומת האתחול הראשית (MBR), לשלוט בפונקציות המסך, למחוק נתוני דפדפן מ-Google Chrome ו-Internet Explorer, להתקין כלי גישה מרחוק כמו AnyDesk ו-UltraViewer, לבצע פעולות קבצים, לאפשר חיבורי פרוקסי ולסיים תהליכים שרירותיים.

זיהוי השחקן האיום מאחורי FatalRAT

בעוד שהמבצעים המדויקים נותרו בלתי מזוהים, קווי דמיון טקטיים בקמפיינים מרובים מצביעים על כך שהתקיפות הללו חולקות מקור משותף. חוקרים מאמינים, בביטחון בינוני, שאחראי הוא שחקן איום דובר סינית. השימוש העקבי בשירותים וממשקים בשפה הסינית לאורך מחזור ההתקפה תומך עוד יותר בתיאוריה זו.

התמונה הגדולה יותר: כלי לריגול סייבר ארוך טווח

הפונקציונליות הרחבה של FatalRAT מספקת לפושעי סייבר הזדמנויות אינסופיות לחדירה לטווח ארוך. היכולת להתפשט על פני רשתות, להתקין כלים נוספים, לתפעל מערכות ולחלץ נתונים סודיים הופכת אותו לנשק אדיר בידיים של תוקפים מתמשכים. החפיפה עם התקפות קודמות והשימוש החוזר במשאבים בשפה הסינית מצביעים על קמפיין מאורגן היטב שמטרתו ריגול וגניבת נתונים.