Serangan Phishing FatalRAT
Organisasi perindustrian di seluruh rantau Asia-Pasifik (APAC) telah menjadi tumpuan kempen pancingan data yang canggih yang bertujuan untuk menyampaikan ancaman FatalRAT. Operasi itu, yang diatur dengan teliti oleh penjenayah siber, bergantung pada perkhidmatan awan China yang sah, seperti myqcloud dan Youdao Cloud Notes, untuk memudahkan infrastruktur serangannya. Penyerang secara berkesan mengelak pengesanan dan memanjangkan pencerobohan mereka dengan menggunakan sistem penghantaran muatan berbilang peringkat.
Isi kandungan
Sasaran Bernilai Tinggi dalam Sektor Kritikal
Kempen ini telah meletakkan sasarannya pada entiti kerajaan dan industri utama, termasuk pembuatan, pembinaan, IT, telekomunikasi, penjagaan kesihatan, kuasa, tenaga, logistik dan pengangkutan. Senarai wilayah yang terjejas merangkumi Taiwan, Malaysia, China, Jepun, Thailand, Korea Selatan, Singapura, Filipina, Vietnam dan Hong Kong.
Gewang Khusus Bahasa untuk Kesan Maksimum
Analisis lampiran e-mel pancingan data menunjukkan bahawa kempen menyasarkan individu berbahasa Cina terutamanya. Pendekatan ini mencadangkan usaha yang dikira untuk melanggar organisasi yang bahasa Mandarin adalah bahasa dominan, memastikan kemungkinan kejayaan yang lebih tinggi.
Evolusi Kaedah Pengedaran FatalRAT
FatalRAT telah dikaitkan dengan pelbagai kaedah pengedaran pada masa lalu. Kempen sebelumnya memanfaatkan Google Ads palsu untuk menyebarkan ancaman. Pada September 2023, penyelidik mendokumentasikan satu lagi kempen pancingan data yang mengedarkan FatalRAT bersama ancaman lain seperti Gh0st RAT, Purple Fox dan ValleyRAT .
Sambungan ke APT Silver Fox
Beberapa kempen ini telah dikaitkan dengan Silver Fox APT, pelakon ancaman yang terkenal kerana menyasarkan pengguna berbahasa Cina dan organisasi Jepun. Hubungan ini lebih menekankan potensi motif geopolitik di sebalik serangan ini.
Rantaian Serangan: Daripada E-mel Phishing kepada Kompromi Penuh
Serangan bermula dengan e-mel pancingan data yang mengandungi arkib ZIP yang menyamar dengan nama fail bahasa Cina. Apabila dibuka, arkib ini melancarkan pemuat peringkat pertama yang menjangkau Youdao Cloud Notes untuk mendapatkan semula fail DLL dan konfigurator FatalRAT. Konfigurator, seterusnya, mengakses nota Youdao Cloud yang lain untuk mengekstrak data konfigurasi sambil membuka fail tipuan secara serentak untuk meminimumkan syak wasangka.
Memanfaatkan Pemuatan Sisi DLL untuk Stealth
Ciri kritikal kempen ini ialah penggunaan teknik pemuatan sisi DLL untuk memajukan urutan jangkitan. Pemuat DLL peringkat kedua memuat turun dan memasang muatan FatalRAT daripada pelayan jauh yang dihoskan pada myqcloud.com sambil memaparkan mesej ralat palsu untuk menipu pengguna. Pergantungan pada binari yang sah membolehkan rantaian serangan bergabung dengan aktiviti sistem biasa, merumitkan usaha pengesanan.
Taktik Pengelakan Lanjutan dalam Main
FatalRAT direka untuk mengenali mesin maya dan persekitaran kotak pasir, melakukan 17 semakan berbeza sebelum melaksanakan. Jika sebarang semakan gagal, perisian hasad akan ditutup untuk mengelakkan analisis. Selain itu, ia menamatkan semua kejadian proses rundll32.exe dan mengumpulkan maklumat sistem, termasuk butiran tentang penyelesaian keselamatan yang dipasang, sebelum menyambung ke pelayan Perintah-dan-Kawalan (C2) untuk arahan selanjutnya.
Alat Serbaguna dan Mengancam
FatalRAT dilengkapi dengan keupayaan luas yang memberikan penyerang kawalan ketara ke atas peranti yang terjejas. Trojan boleh log ketukan kekunci, memanipulasi Master Boot Record (MBR), mengawal fungsi skrin, memadam data penyemak imbas daripada Google Chrome dan Internet Explorer, memasang alat capaian jauh seperti AnyDesk dan UltraViewer, melaksanakan operasi fail, membolehkan sambungan proksi dan menamatkan proses sewenang-wenangnya.
Mengenalpasti Pelakon Ancaman di Sebalik FatalRAT
Walaupun pelaku sebenar masih tidak dikenal pasti, persamaan taktikal merentas berbilang kempen menunjukkan bahawa serangan ini berkongsi asal yang sama. Penyelidik percaya, dengan keyakinan sederhana, bahawa pelakon ancaman berbahasa Cina bertanggungjawab. Penggunaan konsisten perkhidmatan dan antara muka bahasa Cina sepanjang kitaran serangan menyokong lagi teori ini.
Gambaran Lebih Besar: Alat untuk Pengintipan Siber Jangka Panjang
Fungsi luas FatalRAT menyediakan penjenayah siber peluang yang tidak berkesudahan untuk penyusupan jangka panjang. Keupayaan untuk merebak merentasi rangkaian, memasang alat tambahan, memanipulasi sistem dan mengeluarkan data sulit menjadikannya senjata yang hebat di tangan penyerang yang berterusan. Pertindihan dengan serangan sebelumnya dan penggunaan berulang sumber bahasa Cina mencadangkan kempen yang teratur yang bertujuan untuk pengintipan dan pencurian data.
