FatalRAT ការវាយប្រហារការបន្លំ

អង្គការឧស្សាហកម្មនៅទូទាំងតំបន់អាស៊ីប៉ាស៊ីហ្វិក (APAC) បានក្លាយជាការផ្តោតសំខាន់នៃយុទ្ធនាការបន្លំស្មុគ្រស្មាញដែលមានគោលបំណងផ្តល់នូវការគំរាមកំហែង FatalRAT ។ ប្រតិបត្តិការនេះត្រូវបានរៀបចំឡើងយ៉ាងល្អិតល្អន់ដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ពឹងផ្អែកលើសេវាកម្មពពករបស់ចិនស្របច្បាប់ដូចជា myqcloud និង Youdao Cloud Notes ដើម្បីជួយសម្រួលដល់ហេដ្ឋារចនាសម្ព័ន្ធវាយប្រហាររបស់វា។ អ្នកវាយប្រហារមានប្រសិទ្ធភាពគេចពីការរាវរក និងអូសបន្លាយការឈ្លានពានរបស់ពួកគេ ដោយដាក់ពង្រាយប្រព័ន្ធចែកចាយបន្ទុកច្រើនដំណាក់កាល។

គោលដៅតម្លៃខ្ពស់ក្នុងវិស័យសំខាន់ៗ

យុទ្ធនាការនេះបានកំណត់ចក្ខុវិស័យរបស់ខ្លួនលើអង្គភាពរដ្ឋាភិបាល និងឧស្សាហកម្មសំខាន់ៗ រួមទាំងការផលិត សំណង់ បច្ចេកវិទ្យាព័ត៌មាន ទូរគមនាគមន៍ ការថែទាំសុខភាព ថាមពល ថាមពល ភស្តុភារ និងការដឹកជញ្ជូន។ បញ្ជី​តំបន់​ដែល​រង​ផល​ប៉ះពាល់​មាន​លើ​កោះ​តៃវ៉ាន់ ម៉ាឡេស៊ី ចិន ជប៉ុន ថៃ កូរ៉េ​ខាង​ត្បូង សិង្ហបុរី ហ្វីលីពីន វៀតណាម និង​ហុងកុង។

ភាសាជាក់លាក់សម្រាប់ផលប៉ះពាល់អតិបរមា

ការវិភាគឯកសារភ្ជាប់អ៊ីមែលបន្លំបង្ហាញថាយុទ្ធនាការនេះផ្តោតជាចម្បងលើបុគ្គលដែលនិយាយភាសាចិន។ វិធីសាស្រ្តនេះបង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងដែលបានគណនាដើម្បីរំលោភលើអង្គការដែលភាសាចិនកុកងឺជាភាសាលេចធ្លោ ដោយធានានូវលទ្ធភាពជោគជ័យខ្ពស់ជាង។

ការវិវត្តនៃវិធីសាស្រ្តចែកចាយរបស់ FatalRAT

FatalRAT ត្រូវបានភ្ជាប់ទៅនឹងវិធីសាស្រ្តចែកចាយផ្សេងៗកាលពីអតីតកាល។ យុទ្ធនាការមុនៗបានប្រើប្រាស់ Google Ads ក្លែងក្លាយ ដើម្បីផ្សព្វផ្សាយការគំរាមកំហែង។ នៅខែកញ្ញា ឆ្នាំ 2023 អ្នកស្រាវជ្រាវបានចងក្រងឯកសារនៃយុទ្ធនាការបន្លំមួយផ្សេងទៀតដែលចែកចាយ FatalRAT រួមជាមួយការគំរាមកំហែងផ្សេងទៀតដូចជា Gh0st RAT, Purple Fox និង ValleyRAT ។

ការតភ្ជាប់ទៅ Silver Fox APT

យុទ្ធនាការទាំងនេះមួយចំនួនត្រូវបានកំណត់គុណលក្ខណៈ Silver Fox APT ដែលជាអ្នកគំរាមកំហែងដែលគេស្គាល់ថាជាគោលដៅអ្នកប្រើប្រាស់ដែលនិយាយភាសាចិន និងអង្គការជប៉ុន។ ការតភ្ជាប់នេះបញ្ជាក់បន្ថែមអំពីហេតុផលភូមិសាស្ត្រនយោបាយដែលមានសក្តានុពលនៅពីក្រោយការវាយប្រហារទាំងនេះ។

ខ្សែសង្វាក់វាយប្រហារ៖ ពីអ៊ីម៉ែលបន្លំរហូតដល់ការសម្របសម្រួលពេញលេញ

ការវាយប្រហារចាប់ផ្តើមដោយអ៊ីមែលបន្លំដែលមានបណ្ណសារ ZIP ដែលក្លែងបន្លំជាមួយឈ្មោះឯកសារជាភាសាចិន។ នៅពេលបើក បណ្ណសារនេះបើកដំណើរការកម្មវិធីផ្ទុកទិន្នន័យដំណាក់កាលដំបូងដែលទៅដល់ Youdao Cloud Notes ដើម្បីទាញយកឯកសារ DLL និង FatalRAT កំណត់រចនាសម្ព័ន្ធ។ អ្នកកំណត់រចនាសម្ព័ន្ធចូលប្រើចំណាំ Youdao Cloud មួយផ្សេងទៀតដើម្បីទាញយកទិន្នន័យកំណត់រចនាសម្ព័ន្ធក្នុងពេលដំណាលគ្នាបើកឯកសារបញ្ឆោត ដើម្បីកាត់បន្ថយការសង្ស័យ។

ការប្រើប្រាស់ DLL Side-Loading សម្រាប់ការបំបាំងកាយ

លក្ខណៈសំខាន់នៃយុទ្ធនាការនេះគឺការប្រើបច្ចេកទេសផ្ទុកចំហៀងរបស់ DLL ដើម្បីជំរុញលំដាប់នៃការឆ្លងមេរោគ។ កម្មវិធីទាញយក DLL ដំណាក់កាលទីពីរទាញយក និងដំឡើង FatalRAT payload ពីម៉ាស៊ីនមេពីចម្ងាយដែលបង្ហោះនៅលើ myqcloud.com ខណៈពេលដែលបង្ហាញសារកំហុសក្លែងក្លាយដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់។ ការពឹងផ្អែកលើប្រព័ន្ធគោលពីរស្របច្បាប់អនុញ្ញាតឱ្យខ្សែសង្វាក់វាយប្រហារបញ្ចូលគ្នាជាមួយសកម្មភាពប្រព័ន្ធធម្មតា ដែលធ្វើអោយស្មុគស្មាញដល់កិច្ចខិតខំប្រឹងប្រែងស្វែងរក។

យុទ្ធសាស្ត្រគេចវេសកម្រិតខ្ពស់នៅក្នុងការលេង

FatalRAT ត្រូវបានរចនាឡើងដើម្បីទទួលស្គាល់បរិស្ថានម៉ាស៊ីននិម្មិត និងប្រអប់ខ្សាច់ ដោយអនុវត្តការត្រួតពិនិត្យចំនួន 17 ផ្សេងគ្នាមុនពេលប្រតិបត្តិ។ ប្រសិនបើការត្រួតពិនិត្យណាមួយបរាជ័យ មេរោគនឹងបិទដើម្បីជៀសវាងការវិភាគ។ លើសពីនេះ វាបញ្ចប់គ្រប់ករណីនៃដំណើរការ rundll32.exe និងប្រមូលព័ត៌មានប្រព័ន្ធ រួមទាំងព័ត៌មានលម្អិតអំពីដំណោះស្រាយសុវត្ថិភាពដែលបានដំឡើង មុនពេលភ្ជាប់ទៅម៉ាស៊ីនមេ Command-and-Control (C2) របស់វាសម្រាប់ការណែនាំបន្ថែម។

ឧបករណ៍ដែលអាចប្រើប្រាស់បាន និងគំរាមកំហែង

FatalRAT ភ្ជាប់មកជាមួយសមត្ថភាពយ៉ាងទូលំទូលាយដែលផ្តល់ឱ្យអ្នកវាយប្រហារនូវការគ្រប់គ្រងយ៉ាងសំខាន់លើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។ Trojan អាចកត់ត្រាការចុចគ្រាប់ចុច រៀបចំ Master Boot Record (MBR) គ្រប់គ្រងមុខងារអេក្រង់ លុបទិន្នន័យកម្មវិធីរុករកតាមអ៊ីនធឺណិតពី Google Chrome និង Internet Explorer ដំឡើងឧបករណ៍ចូលប្រើពីចម្ងាយដូចជា AnyDesk និង UltraViewer ប្រតិបត្តិប្រតិបត្តិការឯកសារ បើកការតភ្ជាប់ប្រូកស៊ី និងបញ្ចប់ដំណើរការបំពាន។

កំណត់អត្តសញ្ញាណតួអង្គគំរាមកំហែងនៅពីក្រោយ FatalRAT

ខណៈពេលដែលជនល្មើសពិតប្រាកដនៅតែមិនស្គាល់អត្តសញ្ញាណ ភាពស្រដៀងគ្នានៃកលល្បិចនៅទូទាំងយុទ្ធនាការជាច្រើនបង្ហាញថា ការវាយប្រហារទាំងនេះចែករំលែកប្រភពដើមទូទៅមួយ។ អ្នកស្រាវជ្រាវជឿថា ដោយមានទំនុកចិត្តមធ្យមថា តួអង្គគំរាមកំហែងនិយាយភាសាចិនត្រូវទទួលខុសត្រូវ។ ការប្រើប្រាស់សេវាកម្មជាភាសាចិន និងចំណុចប្រទាក់ជាប់លាប់ពេញមួយវដ្តនៃការវាយប្រហារ គាំទ្រទ្រឹស្តីនេះបន្ថែមទៀត។

រូបភាពធំ៖ ឧបករណ៍សម្រាប់ចារកម្មតាមអ៊ីនធឺណិតរយៈពេលវែង

មុខងារទូលំទូលាយរបស់ FatalRAT ផ្តល់ឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតនូវឱកាសគ្មានទីបញ្ចប់សម្រាប់ការជ្រៀតចូលរយៈពេលវែង។ សមត្ថភាពក្នុងការផ្សព្វផ្សាយពាសពេញបណ្តាញ ដំឡើងឧបករណ៍បន្ថែម រៀបចំប្រព័ន្ធ និងទាញយកទិន្នន័យសម្ងាត់ ធ្វើឱ្យវាក្លាយជាអាវុធដ៏ខ្លាំងក្លាមួយនៅក្នុងកណ្តាប់ដៃអ្នកវាយប្រហារបន្ត។ ការត្រួតស៊ីគ្នាជាមួយនឹងការវាយប្រហារពីមុន និងការប្រើប្រាស់ឡើងវិញនៃធនធានជាភាសាចិន បង្ហាញពីយុទ្ធនាការដែលមានការរៀបចំយ៉ាងល្អ សំដៅទៅលើចារកម្ម និងការលួចទិន្នន័យ។