FatalRAT adathalász támadások
Az ázsiai-csendes-óceáni (APAC) régió ipari szervezetei egy kifinomult adathalász kampány középpontjába kerültek, amelynek célja a FatalRAT fenyegetés kezelése. A kiberbűnözők által aprólékosan megszervezett művelet legitim kínai felhőszolgáltatásokra támaszkodik, mint például a myqcloud és a Youdao Cloud Notes a támadási infrastruktúra megkönnyítése érdekében. A támadók hatékonyan elkerülik az észlelést, és meghosszabbítják behatolásukat egy többlépcsős rakomány-szállítási rendszer bevetésével.
Tartalomjegyzék
Nagy értékű célok a kritikus szektorokban
A kampány a kormányzati szervekre és a főbb iparágakra irányult, köztük a gyártás, az építőipar, az IT, a távközlés, az egészségügy, az energia, az energia, a logisztika és a szállítás. Az érintett régiók listája Tajvanra, Malajziára, Kínára, Japánra, Thaiföldre, Dél-Koreára, Szingapúrra, a Fülöp-szigetekre, Vietnamra és Hong Kongra terjed ki.
Nyelvspecifikus csalik a maximális hatás érdekében
Az adathalász e-mailek mellékleteinek elemzése azt mutatja, hogy a kampány elsősorban a kínaiul beszélő személyeket célozza meg. Ez a megközelítés kiszámított erőfeszítést sugall azon szervezetek megsértésére, ahol a mandarin a domináns nyelv, nagyobb valószínűséggel biztosítva a sikert.
A FatalRAT elosztási módszereinek fejlődése
A FatalRAT-ot korábban különféle terjesztési módszerekkel hozták kapcsolatba. A korábbi kampányok a hamis Google Ads-t használták fel a fenyegetés terjesztésére. 2023 szeptemberében a kutatók egy másik adathalász kampányt dokumentáltak, amely a FatalRAT-ot más fenyegetésekkel, például a Gh0st RAT, a Purple Fox és a ValleyRAT mellett terjesztette.
Csatlakozások a Silver Fox APT-hez
E kampányok némelyike a Silver Fox APT-nek tulajdonítható, egy olyan fenyegető szereplőnek, amely a kínaiul beszélő felhasználókat és a japán szervezeteket célozza meg. Ez az összefüggés tovább hangsúlyozza a támadások mögött meghúzódó lehetséges geopolitikai indítékokat.
A támadási lánc: az adathalász e-mailektől a teljes kompromisszumig
A támadás egy adathalász e-maillel kezdődik, amely egy kínai nyelvű fájlnévvel álcázott ZIP archívumot tartalmaz. Megnyitáskor ez az archívum elindít egy első fázisú betöltőt, amely eléri a Youdao Cloud Notes-t, hogy lekérjen egy DLL-fájlt és egy FatalRAT-konfigurátort. A konfigurátor pedig hozzáfér egy másik Youdao Cloud-jegyzethez, hogy kinyerje a konfigurációs adatokat, miközben a gyanú minimalizálása érdekében egy csalifájlt nyit meg.
A DLL oldalsó betöltés kihasználása a lopakodáshoz
Ennek a kampánynak egy kritikus jellemzője a DLL oldalbetöltési technikák használata a fertőzési szekvencia előmozdítása érdekében. A második fokozatú DLL-betöltő letölti és telepíti a FatalRAT hasznos adatot a myqcloud.com webhelyen található távoli kiszolgálóról, miközben hamis hibaüzenetet jelenít meg a felhasználók megtévesztésére. A legitim binárisokra való támaszkodás lehetővé teszi, hogy a támadási lánc beleolvadjon a rendszeres rendszertevékenységbe, ami megnehezíti az észlelési erőfeszítéseket.
Fejlett kijátszási taktika a játékban
A FatalRAT-ot úgy tervezték, hogy felismerje a virtuális gépeket és a sandbox környezeteket, és végrehajtás előtt 17 különböző ellenőrzést hajt végre. Ha bármelyik ellenőrzés sikertelen, a rosszindulatú program leáll az elemzés elkerülése érdekében. Ezenkívül leállítja a rundll32.exe folyamat összes példányát, és összegyűjti a rendszerinformációkat, beleértve a telepített biztonsági megoldások részleteit is, mielőtt további utasításokért csatlakozna a Command-and-Control (C2) kiszolgálóhoz.
Sokoldalú és fenyegető eszköz
A FatalRAT kiterjedt képességekkel rendelkezik, amelyek jelentős irányítást biztosítanak a támadóknak a feltört eszközök felett. A trójai naplózhatja a billentyűleütéseket, manipulálhatja a Master Boot Record-ot (MBR), vezérelheti a képernyőfunkciókat, törölheti a böngésző adatait a Google Chrome-ból és az Internet Explorerből, távoli elérési eszközöket telepíthet, mint például az AnyDesk és az UltraViewer, fájlműveleteket hajthat végre, engedélyezheti a proxy kapcsolatokat és leállíthatja tetszőleges folyamatokat.
A FatalRAT mögött fenyegető szereplő azonosítása
Míg a pontos elkövetők azonosítatlanok maradnak, a több kampány taktikai hasonlóságai arra utalnak, hogy ezeknek a támadásoknak közös az eredete. A kutatók közepes magabiztossággal úgy vélik, hogy egy kínaiul beszélő fenyegetés felelős. A kínai nyelvű szolgáltatások és interfészek következetes használata a támadási ciklus során tovább támogatja ezt az elméletet.
A nagyobb kép: Eszköz a hosszú távú kiberkémkedéshez
A FatalRAT széles körű funkcionalitása végtelen lehetőségeket kínál a kiberbűnözők számára a hosszú távú beszivárgásra. A hálózatok közötti terjedés, a további eszközök telepítése, a rendszerek manipulálása és a bizalmas adatok kiszivárgása révén félelmetes fegyverré válik a kitartó támadók kezében. A korábbi támadásokkal való átfedés és a kínai nyelvű források ismétlődő használata jól szervezett, kémkedésre és adatlopásra irányuló kampányra utal.
