घातक RAT फिसिङ आक्रमणहरू
एसिया-प्रशान्त (APAC) क्षेत्रभरिका औद्योगिक संस्थाहरू FatalRAT खतरा प्रदान गर्ने उद्देश्यले गरिएको परिष्कृत फिसिङ अभियानको केन्द्रबिन्दु बनेका छन्। साइबर अपराधीहरूद्वारा सावधानीपूर्वक व्यवस्थित गरिएको यो अपरेशनले आफ्नो आक्रमण पूर्वाधारलाई सहज बनाउन myqcloud र Youdao Cloud Notes जस्ता वैध चिनियाँ क्लाउड सेवाहरूमा निर्भर गर्दछ। आक्रमणकारीहरूले प्रभावकारी रूपमा पत्ता लगाउनबाट बच्न र बहु-चरण पेलोड डेलिभरी प्रणाली तैनाथ गरेर आफ्नो घुसपैठलाई लम्ब्याउँछन्।
सामग्रीको तालिका
महत्वपूर्ण क्षेत्रहरूमा उच्च-मूल्य लक्ष्यहरू
अभियानले सरकारी निकायहरू र प्रमुख उद्योगहरूमा आफ्नो नजर राखेको छ, जसमा उत्पादन, निर्माण, आईटी, दूरसञ्चार, स्वास्थ्य सेवा, बिजुली, ऊर्जा, रसद र यातायात समावेश छन्। प्रभावित क्षेत्रहरूको सूचीमा ताइवान, मलेसिया, चीन, जापान, थाइल्याण्ड, दक्षिण कोरिया, सिंगापुर, फिलिपिन्स, भियतनाम र हङकङ पर्छन्।
अधिकतम प्रभावको लागि भाषा-विशिष्ट आकर्षणहरू
फिसिङ इमेल संलग्नकहरूको विश्लेषणले अभियानले मुख्यतया चिनियाँ भाषी व्यक्तिहरूलाई लक्षित गर्ने संकेत गर्छ। यो दृष्टिकोणले मन्डारिन प्रमुख भाषा भएको संस्थाहरूलाई तोड्ने गणना गरिएको प्रयासलाई सुझाव दिन्छ, जसले सफलताको उच्च सम्भावना सुनिश्चित गर्दछ।
FatalRAT को वितरण विधिहरूको विकास
FatalRAT लाई विगतमा विभिन्न वितरण विधिहरूसँग जोडिएको छ। अघिल्ला अभियानहरूले खतरा फैलाउन नक्कली गुगल विज्ञापनहरूको प्रयोग गर्थे। सेप्टेम्बर २०२३ मा, अनुसन्धानकर्ताहरूले Gh0st RAT, Purple Fox र ValleyRAT जस्ता अन्य खतराहरूसँगै FatalRAT वितरण गर्ने अर्को फिसिङ अभियानको दस्तावेजीकरण गरे।
सिल्भर फक्स एपीटीसँग जडानहरू
यी मध्ये केही अभियानहरू सिल्भर फक्स एपीटीलाई जिम्मेवार ठहराइएको छ, जुन चिनियाँ भाषी प्रयोगकर्ताहरू र जापानी संस्थाहरूलाई लक्षित गर्नका लागि परिचित एक खतरा अभिनेता हो। यो सम्बन्धले यी आक्रमणहरू पछाडिको सम्भावित भूराजनीतिक उद्देश्यहरूलाई थप जोड दिन्छ।
आक्रमण श्रृंखला: फिसिङ इमेलदेखि पूर्ण सम्झौतासम्म
आक्रमण चिनियाँ भाषाको फाइलनामले ढाकिएको ZIP अभिलेख भएको फिसिङ इमेलबाट सुरु हुन्छ। खोल्दा, यो अभिलेखले पहिलो-चरणको लोडर सुरु गर्छ जुन DLL फाइल र FatalRAT कन्फिगरेटर पुन: प्राप्त गर्न Youdao Cloud Notes मा पुग्छ। कन्फिगरेटरले, बारीमा, शंका कम गर्न एकै साथ डिकोय फाइल खोल्दै कन्फिगरेसन डेटा निकाल्न अर्को Youdao Cloud नोट पहुँच गर्छ।
स्टिल्थको लागि DLL साइड-लोडिङको लाभ उठाउँदै
यस अभियानको एउटा महत्वपूर्ण विशेषता भनेको संक्रमण अनुक्रमलाई अगाडि बढाउन DLL साइड-लोडिङ प्रविधिहरूको प्रयोग हो। दोस्रो चरणको DLL लोडरले myqcloud.com मा होस्ट गरिएको रिमोट सर्भरबाट FatalRAT पेलोड डाउनलोड र स्थापना गर्दछ जबकि प्रयोगकर्ताहरूलाई धोका दिन नक्कली त्रुटि सन्देश प्रदर्शन गर्दछ। वैध बाइनरीहरूमा निर्भरताले आक्रमण श्रृंखलालाई नियमित प्रणाली गतिविधिसँग मिसाउन अनुमति दिन्छ, जसले गर्दा पत्ता लगाउने प्रयासहरू जटिल हुन्छन्।
खेलमा उन्नत चोरी रणनीतिहरू
FatalRAT भर्चुअल मेसिन र स्यान्डबक्स वातावरण पहिचान गर्न डिजाइन गरिएको हो, कार्यान्वयन गर्नु अघि १७ फरक जाँचहरू गर्दछ। यदि कुनै जाँच असफल भयो भने, विश्लेषणबाट बच्न मालवेयर बन्द हुन्छ। थप रूपमा, यसले rundll32.exe प्रक्रियाका सबै उदाहरणहरू समाप्त गर्दछ र थप निर्देशनहरूको लागि यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा जडान गर्नु अघि स्थापित सुरक्षा समाधानहरूको बारेमा विवरणहरू सहित प्रणाली जानकारी सङ्कलन गर्दछ।
बहुमुखी र धम्की दिने उपकरण
FatalRAT व्यापक क्षमताहरूसँग सुसज्जित छ जसले आक्रमणकारीहरूलाई सम्झौता गरिएका उपकरणहरूमा महत्त्वपूर्ण नियन्त्रण प्रदान गर्दछ। ट्रोजनले किस्ट्रोकहरू लग गर्न, मास्टर बुट रेकर्ड (MBR) हेरफेर गर्न, स्क्रिन प्रकार्यहरू नियन्त्रण गर्न, गुगल क्रोम र इन्टरनेट एक्सप्लोररबाट ब्राउजर डेटा मेटाउन, AnyDesk र UltraViewer जस्ता रिमोट पहुँच उपकरणहरू स्थापना गर्न, फाइल सञ्चालनहरू कार्यान्वयन गर्न, प्रोक्सी जडानहरू सक्षम गर्न र मनमानी प्रक्रियाहरू समाप्त गर्न सक्छ।
FatalRAT पछाडिको खतरा अभिनेता पहिचान गर्दै
वास्तविक अपराधीहरू अज्ञात रहे पनि, धेरै अभियानहरूमा रणनीतिक समानताहरूले यी आक्रमणहरूको उत्पत्ति साझा भएको सुझाव दिन्छ। अनुसन्धानकर्ताहरू मध्यम विश्वासका साथ विश्वास गर्छन् कि चिनियाँ भाषा बोल्ने खतरा अभिनेता जिम्मेवार छ। आक्रमण चक्रभरि चिनियाँ भाषा सेवाहरू र इन्टरफेसहरूको निरन्तर प्रयोगले यस सिद्धान्तलाई थप समर्थन गर्दछ।
ठूलो तस्वीर: दीर्घकालीन साइबर जासुसीको लागि एक उपकरण
FatalRAT को व्यापक कार्यक्षमताले साइबर अपराधीहरूलाई दीर्घकालीन घुसपैठको लागि अनन्त अवसरहरू प्रदान गर्दछ। नेटवर्कहरूमा फैलिने, थप उपकरणहरू स्थापना गर्ने, प्रणालीहरू हेरफेर गर्ने र गोप्य डेटा बाहिर निकाल्ने क्षमताले यसलाई निरन्तर आक्रमणकारीहरूको हातमा एक शक्तिशाली हतियार बनाउँछ। अघिल्ला आक्रमणहरूसँगको ओभरल्याप र चिनियाँ भाषाका स्रोतहरूको बारम्बार प्रयोगले जासुसी र डेटा चोरीको उद्देश्यले राम्रोसँग संगठित अभियानको सुझाव दिन्छ।
