FatalRAT pikšķerēšanas uzbrukumi
Rūpniecības organizācijas visā Āzijas un Klusā okeāna (APAC) reģionā ir kļuvušas par izsmalcinātas pikšķerēšanas kampaņas uzmanības centrā, kuras mērķis ir nodrošināt FatalRAT draudus. Operācija, ko rūpīgi organizē kibernoziedznieki, balstās uz likumīgiem Ķīnas mākoņpakalpojumiem, piemēram, myqcloud un Youdao Cloud Notes, lai atvieglotu tās uzbrukumu infrastruktūru. Uzbrucēji efektīvi izvairās no atklāšanas un paildzina ielaušanos, izvietojot daudzpakāpju kravas piegādes sistēmu.
Satura rādītājs
Augstas vērtības mērķi kritiskās nozarēs
Kampaņa ir vērsta uz valsts iestādēm un lielākajām nozarēm, tostarp ražošanu, būvniecību, IT, telekomunikācijām, veselības aprūpi, enerģētiku, enerģētiku, loģistiku un transportu. Skarto reģionu saraksts aptver Taivānu, Malaiziju, Ķīnu, Japānu, Taizemi, Dienvidkoreju, Singapūru, Filipīnas, Vjetnamu un Honkongu.
Valodai specifiski lures maksimlai ietekmei
Pikšķerēšanas e-pasta pielikumu analīze liecina, ka kampaņas mērķauditorija galvenokārt ir ķīniešu valodā runājošas personas. Šī pieeja liecina par apzinātiem centieniem pārkāpt organizācijas, kurās dominē mandarīnu valoda, nodrošinot lielāku veiksmes iespējamību.
FatalRAT izplatīšanas metožu attīstība
FatalRAT agrāk ir bijis saistīts ar dažādām izplatīšanas metodēm. Iepriekšējās kampaņās tika izmantota viltota Google Ads, lai izplatītu draudus. 2023. gada septembrī pētnieki dokumentēja vēl vienu pikšķerēšanas kampaņu, kurā FatalRAT tika izplatīts kopā ar citiem draudiem, piemēram, Gh0st RAT, Purple Fox un ValleyRAT .
Savienojumi ar Silver Fox APT
Dažas no šīm kampaņām tika attiecinātas uz Silver Fox APT — draudu dalībnieku, kas pazīstams kā mērķauditorija pret ķīniešu valodā runājošiem lietotājiem un japāņu organizācijām. Šis savienojums vēl vairāk uzsver iespējamos ģeopolitiskos motīvus, kas ir aiz šiem uzbrukumiem.
Uzbrukuma ķēde: no pikšķerēšanas e-pasta līdz pilnīgam kompromisam
Uzbrukums sākas ar pikšķerēšanas e-pasta ziņojumu, kurā ir ZIP arhīvs, kas maskēts ar faila nosaukumu ķīniešu valodā. Atverot šo arhīvu, tiek palaists pirmā posma ielādētājs, kas sazinās ar Youdao Cloud Notes, lai izgūtu DLL failu un FatalRAT konfiguratoru. Savukārt konfigurators piekļūst citai Youdao Cloud piezīmei, lai iegūtu konfigurācijas datus, vienlaikus atverot mānekļu failu, lai mazinātu aizdomas.
DLL sānu ielādes izmantošana slepenai lietošanai
Šīs kampaņas būtiska iezīme ir DLL sānu ielādes paņēmienu izmantošana, lai veicinātu infekcijas secību. Otrās pakāpes DLL ielādētājs lejupielādē un instalē FatalRAT lietderīgo slodzi no attālā servera, kas mitināts vietnē myqcloud.com, vienlaikus parādot viltus kļūdas ziņojumu, lai maldinātu lietotājus. Paļaušanās uz likumīgiem binārajiem failiem ļauj uzbrukuma ķēdei saplūst ar regulāru sistēmas darbību, apgrūtinot atklāšanas pasākumus.
Izvērstā izvairīšanās taktika spēlē
FatalRAT ir paredzēts virtuālās mašīnas un smilškastes vides atpazīšanai, pirms izpildes veicot 17 dažādas pārbaudes. Ja kāda pārbaude neizdodas, ļaunprogrammatūra tiek izslēgta, lai izvairītos no analīzes. Turklāt tas pārtrauc visus rundll32.exe procesa gadījumus un apkopo sistēmas informāciju, tostarp informāciju par instalētajiem drošības risinājumiem, pirms tiek izveidots savienojums ar savu Command-and-Control (C2) serveri, lai saņemtu papildu norādījumus.
Daudzpusīgs un draudīgs rīks
FatalRAT ir aprīkots ar plašām iespējām, kas nodrošina uzbrucējiem būtisku kontroli pār apdraudētām ierīcēm. Trojas zirgs var reģistrēt taustiņsitienus, manipulēt ar galveno sāknēšanas ierakstu (MBR), kontrolēt ekrāna funkcijas, dzēst pārlūkprogrammas datus no Google Chrome un Internet Explorer, instalēt attālās piekļuves rīkus, piemēram, AnyDesk un UltraViewer, izpildīt failu darbības, iespējot starpniekservera savienojumus un pārtraukt patvaļīgus procesus.
Draudu aktiera identificēšana aiz FatalRAT
Lai gan precīzi vainīgie joprojām nav identificēti, vairāku kampaņu taktiskās līdzības liecina, ka šiem uzbrukumiem ir kopīga izcelsme. Pētnieki ar vidēju pārliecību uzskata, ka ķīniešu valodā runājošs draudu aktieris ir atbildīgs. Konsekventa ķīniešu valodas pakalpojumu un saskarņu izmantošana visā uzbrukuma ciklā vēl vairāk atbalsta šo teoriju.
Lielāks attēls: rīks ilgstošai kiberspiegošanai
FatalRAT plašā funkcionalitāte sniedz kibernoziedzniekiem bezgalīgas iespējas ilgstošai infiltrācijai. Iespēja izplatīties pa tīkliem, instalēt papildu rīkus, manipulēt ar sistēmām un izfiltrēt konfidenciālus datus padara to par milzīgu ieroci pastāvīgu uzbrucēju rokās. Pārklāšanās ar iepriekšējiem uzbrukumiem un ķīniešu valodas resursu atkārtota izmantošana liecina par labi organizētu kampaņu, kuras mērķis ir spiegošana un datu zādzība.
