FatalRAT phishing napadi
Industrijske organizacije diljem azijsko-pacifičke (APAC) regije postale su žarište sofisticirane phishing kampanje usmjerene na isporuku prijetnje FatalRAT. Operacija, koju su pažljivo orkestrirali kibernetički kriminalci, oslanja se na legitimne kineske usluge u oblaku, kao što su myqcloud i Youdao Cloud Notes, kako bi olakšala svoju infrastrukturu napada. Napadači učinkovito izbjegavaju otkrivanje i produžuju svoj upad uvođenjem višestupanjskog sustava dostave korisnog tereta.
Sadržaj
Mete visoke vrijednosti u kritičnim sektorima
Kampanja je usmjerena na državne subjekte i glavne industrije, uključujući proizvodnju, građevinarstvo, IT, telekomunikacije, zdravstvo, energetiku, logistiku i transport. Popis pogođenih regija obuhvaća Tajvan, Maleziju, Kinu, Japan, Tajland, Južnu Koreju, Singapur, Filipine, Vijetnam i Hong Kong.
Mamci specifični za jezik za maksimalni učinak
Analiza privitaka e-pošte za krađu identiteta pokazuje da kampanja primarno cilja na pojedince koji govore kineski. Ovaj pristup sugerira proračunat napor da se probije organizacije u kojima je mandarinski dominantan jezik, čime se osigurava veća vjerojatnost uspjeha.
Evolucija metoda distribucije FatalRAT-a
FatalRAT je u prošlosti povezivan s različitim metodama distribucije. Prethodne kampanje koristile su lažne Google oglase za širenje prijetnje. U rujnu 2023. istraživači su dokumentirali još jednu phishing kampanju koja distribuira FatalRAT uz druge prijetnje kao što su Gh0st RAT, Purple Fox i ValleyRAT .
Veze na Silver Fox APT
Neke od tih kampanja pripisane su Silver Fox APT-u, akteru prijetnji poznatom po ciljanju korisnika koji govore kineski i japanskih organizacija. Ova veza dodatno naglašava potencijalne geopolitičke motive iza ovih napada.
Lanac napada: od phishing e-pošte do potpune kompromitacije
Napad počinje s phishing e-poštom koja sadrži ZIP arhivu prerušenu nazivom datoteke na kineskom jeziku. Kada se otvori, ova arhiva pokreće učitavač prve faze koji dopire do Youdao Cloud Notesa kako bi dohvatio DLL datoteku i FatalRAT konfigurator. Konfigurator zauzvrat pristupa drugoj bilješci Youdao Clouda kako bi izvukao podatke o konfiguraciji dok istovremeno otvara datoteku mamac kako bi sumnju sveo na minimum.
Iskorištavanje DLL bočnog učitavanja za nevidljivost
Kritična značajka ove kampanje je korištenje tehnika bočnog učitavanja DLL-a za napredovanje slijeda infekcije. DLL učitavač druge faze preuzima i instalira FatalRAT korisni teret s udaljenog poslužitelja koji se nalazi na myqcloud.com dok prikazuje lažnu poruku o pogrešci kako bi zavarao korisnike. Oslanjanje na legitimne binarne datoteke omogućuje da se lanac napada uklopi u redovitu aktivnost sustava, komplicirajući napore otkrivanja.
Napredne taktike izbjegavanja u igri
FatalRAT je dizajniran za prepoznavanje virtualnog stroja i sandbox okruženja, obavljajući 17 različitih provjera prije izvršenja. Ako bilo koja provjera ne uspije, zlonamjerni se softver isključuje kako bi se izbjegla analiza. Dodatno, prekida sve instance procesa rundll32.exe i prikuplja podatke o sustavu, uključujući pojedinosti o instaliranim sigurnosnim rješenjima, prije povezivanja na svoj Command-and-Control (C2) poslužitelj za daljnje upute.
Svestran i prijeteći alat
FatalRAT dolazi opremljen sa širokim mogućnostima koje napadačima daju značajnu kontrolu nad ugroženim uređajima. Trojanac može bilježiti pritiske tipki, manipulirati glavnim zapisom za pokretanje (MBR), kontrolirati funkcije zaslona, brisati podatke preglednika iz Google Chromea i Internet Explorera, instalirati alate za daljinski pristup kao što su AnyDesk i UltraViewer, izvršavati operacije datoteka, omogućiti proxy veze i prekinuti proizvoljne procese.
Identificiranje aktera prijetnje iza FatalRAT-a
Dok točni počinitelji ostaju neidentificirani, taktičke sličnosti u više kampanja sugeriraju da ovi napadi imaju zajedničko podrijetlo. Istraživači vjeruju, sa srednjom pouzdanošću, da je odgovoran akter prijetnje koji govori kineski. Dosljedna upotreba usluga i sučelja na kineskom jeziku tijekom ciklusa napada dodatno podupire ovu teoriju.
Šira slika: Alat za dugoročnu kibernetičku špijunažu
Široka funkcionalnost FatalRAT-a pruža kibernetičkim kriminalcima beskrajne mogućnosti za dugoročnu infiltraciju. Sposobnost širenja po mrežama, instaliranja dodatnih alata, manipuliranja sustavima i eksfiltracije povjerljivih podataka čini ga moćnim oružjem u rukama upornih napadača. Preklapanje s prethodnim napadima i ponovno korištenje resursa na kineskom jeziku sugeriraju dobro organiziranu kampanju usmjerenu na špijunažu i krađu podataka.
