FatalRAT sukčiavimo atakos
Pramonės organizacijos visame Azijos ir Ramiojo vandenyno (APAC) regione tapo sudėtingos sukčiavimo kampanijos, skirtos FatalRAT grėsmei įveikti, dėmesio centre. Ši operacija, kurią kruopščiai suorganizavo kibernetiniai nusikaltėliai, remiasi teisėtomis Kinijos debesijos paslaugomis, tokiomis kaip „myqcloud“ ir „Youdao Cloud Notes“, kad palengvintų atakų infrastruktūrą. Užpuolikai veiksmingai išvengia aptikimo ir pratęsia įsibrovimą, įdiegdami kelių etapų naudingojo krovinio pristatymo sistemą.
Turinys
Didelės vertės tikslai kritiniuose sektoriuose
Kampanija buvo nukreipta į vyriausybinius subjektus ir pagrindines pramonės šakas, įskaitant gamybą, statybą, IT, telekomunikacijas, sveikatos priežiūrą, energiją, energetiką, logistiką ir transportą. Paveiktų regionų sąrašas apima Taivaną, Malaiziją, Kiniją, Japoniją, Tailandą, Pietų Korėją, Singapūrą, Filipinus, Vietnamą ir Honkongą.
Konkrečiai kalbai skirti masalai maksimaliam poveikiui
Sukčiavimo el. laiškų priedų analizė rodo, kad kampanija visų pirma skirta kiniškai kalbantiems asmenims. Šis metodas rodo apgalvotas pastangas pažeisti organizacijas, kuriose dominuoja mandarinų kalba, užtikrinant didesnę sėkmės tikimybę.
FatalRAT platinimo metodų raida
FatalRAT praeityje buvo susietas su įvairiais platinimo metodais. Ankstesnėse kampanijose buvo naudojama netikra „Google Ads“, kad skleistų grėsmę. 2023 m. rugsėjo mėn. mokslininkai dokumentavo kitą sukčiavimo kampaniją, platinančią FatalRAT kartu su kitomis grėsmėmis, tokiomis kaip Gh0st RAT, Purple Fox ir ValleyRAT .
Jungtys su Silver Fox APT
Kai kurios iš šių kampanijų buvo priskirtos „Sidabrinės lapės APT“ – grėsmės veikėjui, žinomam kaip taikantis į kiniškai kalbančius vartotojus ir Japonijos organizacijas. Šis ryšys dar labiau pabrėžia galimus geopolitinius šių išpuolių motyvus.
Atakos grandinė: nuo sukčiavimo el. pašto iki visiško kompromiso
Ataka prasideda nuo sukčiavimo el. laiško, kuriame yra ZIP archyvas, užmaskuotas failo pavadinimu kinų kalba. Atidarius šį archyvą, paleidžiama pirmos pakopos įkėlimo programa, kuri susisiekia su „Youdao Cloud Notes“, kad gautų DLL failą ir „FatalRAT“ konfigūratorių. Savo ruožtu konfigūratorius pasiekia kitą „Youdao Cloud“ užrašą, kad išgautų konfigūracijos duomenis, tuo pat metu atidarydamas apgaulės failą, kad sumažintų įtarimą.
DLL šoninio įkėlimo panaudojimas slaptam naudojimui
Svarbus šios kampanijos bruožas yra DLL šoninio įkėlimo metodų naudojimas, siekiant paspartinti infekcijos seką. Antros pakopos DLL įkroviklis atsisiunčia ir įdiegia „FatalRAT“ naudingą apkrovą iš nuotolinio serverio, esančio myqcloud.com, tuo pačiu rodydamas netikrą klaidos pranešimą, kad apgautų vartotojus. Pasitikėjimas teisėtais dvejetainiais failais leidžia atakų grandinei susilieti su įprasta sistemos veikla, o tai apsunkina aptikimo pastangas.
Išplėstinė vengimo taktika žaidime
„FatalRAT“ sukurtas atpažinti virtualią mašiną ir smėlio dėžės aplinkas, prieš vykdydamas 17 skirtingų patikrinimų. Jei kuris nors patikrinimas nepavyksta, kenkėjiška programa išsijungia, kad būtų išvengta analizės. Be to, jis nutraukia visus rundll32.exe proceso egzempliorius ir renka sistemos informaciją, įskaitant išsamią informaciją apie įdiegtus saugos sprendimus, prieš prisijungdamas prie savo komandų ir valdymo (C2) serverio, kad gautų tolimesnių instrukcijų.
Universalus ir grėsmingas įrankis
„FatalRAT“ aprūpintas plačiomis galimybėmis, kurios suteikia užpuolikams reikšmingą galimybę valdyti pažeistus įrenginius. Trojos arklys gali registruoti klavišų paspaudimus, manipuliuoti pagrindiniu įkrovos įrašu (MBR), valdyti ekrano funkcijas, ištrinti naršyklės duomenis iš „Google Chrome“ ir „Internet Explorer“, įdiegti nuotolinės prieigos įrankius, tokius kaip „AnyDesk“ ir „UltraViewer“, vykdyti failų operacijas, įgalinti tarpinio serverio ryšius ir nutraukti savavališkus procesus.
„FatalRAT“ grėsmės veikėjo nustatymas
Nors tikslūs nusikaltėliai lieka nenustatyti, kelių kampanijų taktiniai panašumai rodo, kad šių išpuolių kilmė yra bendra. Tyrėjai su vidutiniu pasitikėjimu mano, kad kiniškai kalbantis grėsmės veikėjas yra atsakingas. Nuolatinis paslaugų ir sąsajų kinų kalba naudojimas viso atakos ciklo metu dar labiau patvirtina šią teoriją.
Didesnis paveikslas: ilgalaikio kibernetinio šnipinėjimo įrankis
Platus FatalRAT funkcionalumas suteikia kibernetiniams nusikaltėliams begalines ilgalaikio įsiskverbimo galimybes. Galimybė plisti tinkluose, įdiegti papildomus įrankius, manipuliuoti sistemomis ir išfiltruoti konfidencialius duomenis daro jį didžiuliu ginklu nuolatinių užpuolikų rankose. Sutapimas su ankstesnėmis atakomis ir pasikartojantis kinų kalbos išteklių naudojimas rodo, kad buvo gerai organizuota kampanija, skirta šnipinėjimui ir duomenų vagystėms.
