Attacchi di phishing FatalRAT
Le organizzazioni industriali nella regione Asia-Pacifico (APAC) sono diventate il fulcro di una sofisticata campagna di phishing volta a diffondere la minaccia FatalRAT. L'operazione, meticolosamente orchestrata dai criminali informatici, si basa su legittimi servizi cloud cinesi, come myqcloud e Youdao Cloud Notes, per facilitare la sua infrastruttura di attacco. Gli aggressori eludono efficacemente il rilevamento e prolungano la loro intrusione implementando un sistema di distribuzione del payload multi-fase.
Sommario
Obiettivi di alto valore nei settori critici
La campagna ha puntato gli occhi su enti governativi e grandi industrie, tra cui produzione, edilizia, IT, telecomunicazioni, sanità, energia, logistica e trasporti. L'elenco delle regioni interessate comprende Taiwan, Malesia, Cina, Giappone, Thailandia, Corea del Sud, Singapore, Filippine, Vietnam e Hong Kong.
Esche specifiche per la lingua per il massimo impatto
L'analisi degli allegati e-mail di phishing indica che la campagna ha come target principalmente individui di lingua cinese. Questo approccio suggerisce uno sforzo calcolato per violare organizzazioni in cui il mandarino è la lingua dominante, garantendo una maggiore probabilità di successo.
L’evoluzione dei metodi di distribuzione di FatalRAT
In passato, FatalRAT è stato collegato a vari metodi di distribuzione. Le campagne precedenti sfruttavano falsi annunci Google per diffondere la minaccia. A settembre 2023, i ricercatori hanno documentato un'altra campagna di phishing che distribuiva FatalRAT insieme ad altre minacce come Gh0st RAT, Purple Fox e ValleyRAT .
Collegamenti con l’APT Silver Fox
Alcune di queste campagne sono state attribuite a Silver Fox APT, un threat actor noto per aver preso di mira utenti di lingua cinese e organizzazioni giapponesi. Questa connessione sottolinea ulteriormente i potenziali motivi geopolitici alla base di questi attacchi.
La catena di attacco: dall’e-mail di phishing alla compromissione completa
L'attacco inizia con un'e-mail di phishing contenente un archivio ZIP camuffato con un nome file in lingua cinese. Quando viene aperto, questo archivio avvia un caricatore di prima fase che raggiunge Youdao Cloud Notes per recuperare un file DLL e un configuratore FatalRAT. Il configuratore, a sua volta, accede a un'altra nota Youdao Cloud per estrarre i dati di configurazione e contemporaneamente apre un file esca per ridurre al minimo i sospetti.
Sfruttamento del caricamento laterale DLL per Stealth
Una caratteristica critica di questa campagna è l'uso di tecniche di caricamento laterale DLL per far progredire la sequenza di infezione. Il caricatore DLL di seconda fase scarica e installa il payload FatalRAT da un server remoto ospitato su myqcloud.com, mentre visualizza un falso messaggio di errore per ingannare gli utenti. L'affidamento a binari legittimi consente alla catena di attacco di fondersi con la normale attività di sistema, complicando gli sforzi di rilevamento.
Tattiche di evasione avanzate in gioco
FatalRAT è progettato per riconoscere ambienti sandbox e macchine virtuali, eseguendo 17 diversi controlli prima dell'esecuzione. Se un controllo fallisce, il malware si arresta per evitare l'analisi. Inoltre, termina tutte le istanze del processo rundll32.exe e raccoglie informazioni di sistema, inclusi i dettagli sulle soluzioni di sicurezza installate, prima di connettersi al suo server Command-and-Control (C2) per ulteriori istruzioni.
Uno strumento versatile e minaccioso
FatalRAT è dotato di ampie capacità che garantiscono agli aggressori un controllo significativo sui dispositivi compromessi. Il Trojan può registrare le sequenze di tasti, manipolare il Master Boot Record (MBR), controllare le funzioni dello schermo, eliminare i dati del browser da Google Chrome e Internet Explorer, installare strumenti di accesso remoto come AnyDesk e UltraViewer, eseguire operazioni sui file, abilitare connessioni proxy e terminare processi arbitrari.
Identificazione dell’autore della minaccia dietro FatalRAT
Sebbene gli autori esatti rimangano non identificati, le somiglianze tattiche in più campagne suggeriscono che questi attacchi condividano un'origine comune. I ricercatori ritengono, con una sicurezza media, che il responsabile sia un attore della minaccia di lingua cinese. L'uso costante di servizi e interfacce in lingua cinese durante l'intero ciclo di attacco supporta ulteriormente questa teoria.
The Bigger Picture: uno strumento per lo spionaggio informatico a lungo termine
L'ampia funzionalità di FatalRAT offre ai criminali informatici infinite opportunità di infiltrazione a lungo termine. La capacità di diffondersi attraverso le reti, installare strumenti aggiuntivi, manipolare sistemi ed esfiltrare dati riservati lo rende un'arma formidabile nelle mani di aggressori persistenti. La sovrapposizione con attacchi precedenti e l'uso ricorrente di risorse in lingua cinese suggeriscono una campagna ben organizzata mirata allo spionaggio e al furto di dati.
