FatalRAT Phishing Attacks
एशिया-प्रशांत (APAC) क्षेत्र में औद्योगिक संगठन एक परिष्कृत फ़िशिंग अभियान का केंद्र बन गए हैं जिसका उद्देश्य FatalRAT खतरा पहुंचाना है। साइबर अपराधियों द्वारा सावधानीपूर्वक संचालित यह ऑपरेशन अपने हमले के बुनियादी ढांचे को सुविधाजनक बनाने के लिए वैध चीनी क्लाउड सेवाओं, जैसे कि myqcloud और Youdao Cloud Notes पर निर्भर करता है। हमलावर प्रभावी रूप से पता लगाने से बचते हैं और एक बहु-चरणीय पेलोड डिलीवरी सिस्टम तैनात करके अपनी घुसपैठ को लम्बा खींचते हैं।
विषयसूची
महत्वपूर्ण क्षेत्रों में उच्च-मूल्य लक्ष्य
अभियान ने सरकारी संस्थाओं और विनिर्माण, निर्माण, आईटी, दूरसंचार, स्वास्थ्य सेवा, बिजली, ऊर्जा, रसद और परिवहन सहित प्रमुख उद्योगों पर अपनी नज़रें टिकाई हैं। प्रभावित क्षेत्रों की सूची में ताइवान, मलेशिया, चीन, जापान, थाईलैंड, दक्षिण कोरिया, सिंगापुर, फिलीपींस, वियतनाम और हांगकांग शामिल हैं।
अधिकतम प्रभाव के लिए भाषा-विशिष्ट आकर्षण
फ़िशिंग ईमेल अटैचमेंट के विश्लेषण से पता चलता है कि अभियान मुख्य रूप से चीनी-भाषी व्यक्तियों को लक्षित करता है। यह दृष्टिकोण उन संगठनों में सेंध लगाने के लिए एक सुनियोजित प्रयास का सुझाव देता है जहाँ मंदारिन प्रमुख भाषा है, जिससे सफलता की संभावना अधिक होती है।
FatalRAT के वितरण विधियों का विकास
FatalRAT को पहले भी कई तरह के वितरण तरीकों से जोड़ा गया है। पिछले अभियानों में इस खतरे को फैलाने के लिए नकली Google विज्ञापनों का इस्तेमाल किया गया था। सितंबर 2023 में, शोधकर्ताओं ने Gh0st RAT, Purple Fox और ValleyRAT जैसे अन्य खतरों के साथ FatalRAT वितरित करने वाले एक और फ़िशिंग अभियान का दस्तावेजीकरण किया।
सिल्वर फॉक्स एपीटी से कनेक्शन
इनमें से कुछ अभियानों का श्रेय सिल्वर फॉक्स एपीटी को दिया गया है, जो एक खतरनाक अभिनेता है जो चीनी भाषी उपयोगकर्ताओं और जापानी संगठनों को निशाना बनाने के लिए जाना जाता है। यह संबंध इन हमलों के पीछे संभावित भू-राजनीतिक उद्देश्यों पर और अधिक जोर देता है।
आक्रमण श्रृंखला: फ़िशिंग ईमेल से लेकर पूर्ण समझौते तक
हमला एक फ़िशिंग ईमेल से शुरू होता है जिसमें एक ज़िप आर्काइव होता है जिसे चीनी भाषा के फ़ाइल नाम से छिपाया जाता है। जब इसे खोला जाता है, तो यह आर्काइव एक प्रथम-चरण लोडर लॉन्च करता है जो एक DLL फ़ाइल और एक FatalRAT कॉन्फ़िगरेटर को प्राप्त करने के लिए Youdao Cloud Notes तक पहुँचता है। कॉन्फ़िगरेटर, बदले में, कॉन्फ़िगरेशन डेटा निकालने के लिए एक और Youdao Cloud नोट तक पहुँचता है और साथ ही संदेह को कम करने के लिए एक नकली फ़ाइल खोलता है।
चुपके से DLL साइड-लोडिंग का लाभ उठाना
इस अभियान की एक महत्वपूर्ण विशेषता संक्रमण अनुक्रम को आगे बढ़ाने के लिए DLL साइड-लोडिंग तकनीकों का उपयोग है। दूसरे चरण का DLL लोडर myqcloud.com पर होस्ट किए गए रिमोट सर्वर से FatalRAT पेलोड को डाउनलोड और इंस्टॉल करता है, जबकि उपयोगकर्ताओं को धोखा देने के लिए एक नकली त्रुटि संदेश प्रदर्शित करता है। वैध बाइनरी पर निर्भरता हमले की श्रृंखला को नियमित सिस्टम गतिविधि के साथ मिश्रित करने की अनुमति देती है, जिससे पता लगाने के प्रयास जटिल हो जाते हैं।
खेल में उन्नत बचाव रणनीति
FatalRAT को वर्चुअल मशीन और सैंडबॉक्स वातावरण को पहचानने के लिए डिज़ाइन किया गया है, जो निष्पादित करने से पहले 17 अलग-अलग जाँच करता है। यदि कोई जाँच विफल हो जाती है, तो विश्लेषण से बचने के लिए मैलवेयर बंद हो जाता है। इसके अतिरिक्त, यह rundll32.exe प्रक्रिया के सभी उदाहरणों को समाप्त कर देता है और आगे के निर्देशों के लिए अपने कमांड-एंड-कंट्रोल (C2) सर्वर से कनेक्ट होने से पहले, इंस्टॉल किए गए सुरक्षा समाधानों के बारे में विवरण सहित सिस्टम जानकारी एकत्र करता है।
एक बहुमुखी और ख़तरनाक उपकरण
FatalRAT में व्यापक क्षमताएं हैं जो हमलावरों को समझौता किए गए डिवाइस पर महत्वपूर्ण नियंत्रण प्रदान करती हैं। ट्रोजन कीस्ट्रोक्स को लॉग कर सकता है, मास्टर बूट रिकॉर्ड (MBR) में हेरफेर कर सकता है, स्क्रीन फ़ंक्शन को नियंत्रित कर सकता है, Google Chrome और Internet Explorer से ब्राउज़र डेटा हटा सकता है, AnyDesk और UltraViewer जैसे रिमोट एक्सेस टूल इंस्टॉल कर सकता है, फ़ाइल ऑपरेशन निष्पादित कर सकता है, प्रॉक्सी कनेक्शन सक्षम कर सकता है और मनमानी प्रक्रियाओं को समाप्त कर सकता है।
FatalRAT के पीछे के ख़तरे वाले अभिनेता की पहचान करना
हालांकि सटीक अपराधियों की पहचान नहीं हो पाई है, लेकिन कई अभियानों में सामरिक समानताएं बताती हैं कि इन हमलों का मूल एक ही है। शोधकर्ताओं का मानना है कि, मध्यम आत्मविश्वास के साथ, चीनी भाषी खतरा पैदा करने वाला व्यक्ति इसके लिए जिम्मेदार है। हमले के पूरे चक्र में चीनी भाषा की सेवाओं और इंटरफेस का लगातार उपयोग इस सिद्धांत को और पुष्ट करता है।
बड़ी तस्वीर: दीर्घकालिक साइबर जासूसी का एक उपकरण
FatalRAT की व्यापक कार्यक्षमता साइबर अपराधियों को दीर्घकालिक घुसपैठ के लिए अनंत अवसर प्रदान करती है। नेटवर्क में फैलने, अतिरिक्त उपकरण स्थापित करने, सिस्टम में हेरफेर करने और गोपनीय डेटा को बाहर निकालने की क्षमता इसे लगातार हमलावरों के हाथों में एक दुर्जेय हथियार बनाती है। पिछले हमलों के साथ ओवरलैप और चीनी भाषा के संसाधनों का बार-बार उपयोग जासूसी और डेटा चोरी के उद्देश्य से एक सुव्यवस्थित अभियान का सुझाव देता है।
