FatalRAT Phishing Attacks
ਏਸ਼ੀਆ-ਪ੍ਰਸ਼ਾਂਤ (ਏਪੀਏਸੀ) ਖੇਤਰ ਦੇ ਉਦਯੋਗਿਕ ਸੰਗਠਨ ਇੱਕ ਗੁੰਝਲਦਾਰ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਦਾ ਕੇਂਦਰ ਬਣ ਗਏ ਹਨ ਜਿਸਦਾ ਉਦੇਸ਼ ਫੈਟਲਆਰਏਟੀ ਖ਼ਤਰੇ ਨੂੰ ਪਹੁੰਚਾਉਣਾ ਹੈ। ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੁਆਰਾ ਸਾਵਧਾਨੀ ਨਾਲ ਚਲਾਇਆ ਗਿਆ ਇਹ ਕਾਰਜ, ਆਪਣੇ ਹਮਲੇ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਸੁਚਾਰੂ ਬਣਾਉਣ ਲਈ ਜਾਇਜ਼ ਚੀਨੀ ਕਲਾਉਡ ਸੇਵਾਵਾਂ, ਜਿਵੇਂ ਕਿ ਮਾਈਕ ਕਲਾਉਡ ਅਤੇ ਯੂਡਾਓ ਕਲਾਉਡ ਨੋਟਸ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। ਹਮਲਾਵਰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਖੋਜ ਤੋਂ ਬਚਦੇ ਹਨ ਅਤੇ ਇੱਕ ਮਲਟੀ-ਸਟੇਜ ਪੇਲੋਡ ਡਿਲੀਵਰੀ ਸਿਸਟਮ ਨੂੰ ਤੈਨਾਤ ਕਰਕੇ ਆਪਣੀ ਘੁਸਪੈਠ ਨੂੰ ਲੰਮਾ ਕਰਦੇ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਨਾਜ਼ੁਕ ਖੇਤਰਾਂ ਵਿੱਚ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਟੀਚੇ
ਇਸ ਮੁਹਿੰਮ ਨੇ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਅਤੇ ਪ੍ਰਮੁੱਖ ਉਦਯੋਗਾਂ 'ਤੇ ਆਪਣੀਆਂ ਨਜ਼ਰਾਂ ਰੱਖੀਆਂ ਹਨ, ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਨਿਰਮਾਣ, ਨਿਰਮਾਣ, ਆਈ.ਟੀ., ਦੂਰਸੰਚਾਰ, ਸਿਹਤ ਸੰਭਾਲ, ਬਿਜਲੀ, ਊਰਜਾ, ਲੌਜਿਸਟਿਕਸ ਅਤੇ ਆਵਾਜਾਈ ਸ਼ਾਮਲ ਹਨ। ਪ੍ਰਭਾਵਿਤ ਖੇਤਰਾਂ ਦੀ ਸੂਚੀ ਤਾਈਵਾਨ, ਮਲੇਸ਼ੀਆ, ਚੀਨ, ਜਾਪਾਨ, ਥਾਈਲੈਂਡ, ਦੱਖਣੀ ਕੋਰੀਆ, ਸਿੰਗਾਪੁਰ, ਫਿਲੀਪੀਨਜ਼, ਵੀਅਤਨਾਮ ਅਤੇ ਹਾਂਗਕਾਂਗ ਨੂੰ ਫੈਲਾਉਂਦੀ ਹੈ।
ਵੱਧ ਤੋਂ ਵੱਧ ਪ੍ਰਭਾਵ ਲਈ ਭਾਸ਼ਾ-ਵਿਸ਼ੇਸ਼ ਲਾਲਚ
ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਅਟੈਚਮੈਂਟਾਂ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ ਇਹ ਮੁਹਿੰਮ ਮੁੱਖ ਤੌਰ 'ਤੇ ਚੀਨੀ ਬੋਲਣ ਵਾਲੇ ਵਿਅਕਤੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ। ਇਹ ਪਹੁੰਚ ਉਹਨਾਂ ਸੰਗਠਨਾਂ ਨੂੰ ਤੋੜਨ ਲਈ ਇੱਕ ਗਿਣਿਆ-ਮਿਥਿਆ ਯਤਨ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ ਜਿੱਥੇ ਮੈਂਡਰਿਨ ਪ੍ਰਮੁੱਖ ਭਾਸ਼ਾ ਹੈ, ਸਫਲਤਾ ਦੀ ਉੱਚ ਸੰਭਾਵਨਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦੀ ਹੈ।
FatalRAT ਦੇ ਵੰਡ ਤਰੀਕਿਆਂ ਦਾ ਵਿਕਾਸ
FatalRAT ਨੂੰ ਪਹਿਲਾਂ ਵੀ ਕਈ ਵੰਡ ਵਿਧੀਆਂ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਪਿਛਲੀਆਂ ਮੁਹਿੰਮਾਂ ਨੇ ਧਮਕੀ ਫੈਲਾਉਣ ਲਈ ਨਕਲੀ Google ਇਸ਼ਤਿਹਾਰਾਂ ਦਾ ਲਾਭ ਉਠਾਇਆ। ਸਤੰਬਰ 2023 ਵਿੱਚ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ Gh0st RAT, Purple Fox ਅਤੇ ValleyRAT ਵਰਗੇ ਹੋਰ ਖਤਰਿਆਂ ਦੇ ਨਾਲ FatalRAT ਨੂੰ ਵੰਡਣ ਵਾਲੀ ਇੱਕ ਹੋਰ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਦਾ ਦਸਤਾਵੇਜ਼ੀਕਰਨ ਕੀਤਾ।
ਸਿਲਵਰ ਫੌਕਸ ਏਪੀਟੀ ਨਾਲ ਕਨੈਕਸ਼ਨ
ਇਹਨਾਂ ਵਿੱਚੋਂ ਕੁਝ ਮੁਹਿੰਮਾਂ ਦਾ ਕਾਰਨ ਸਿਲਵਰ ਫੌਕਸ ਏਪੀਟੀ ਹੈ, ਜੋ ਕਿ ਚੀਨੀ ਬੋਲਣ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਅਤੇ ਜਾਪਾਨੀ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਇੱਕ ਖ਼ਤਰਾ ਅਦਾਕਾਰ ਹੈ। ਇਹ ਸਬੰਧ ਇਹਨਾਂ ਹਮਲਿਆਂ ਦੇ ਪਿੱਛੇ ਸੰਭਾਵੀ ਭੂ-ਰਾਜਨੀਤਿਕ ਉਦੇਸ਼ਾਂ 'ਤੇ ਹੋਰ ਜ਼ੋਰ ਦਿੰਦਾ ਹੈ।
ਹਮਲੇ ਦੀ ਲੜੀ: ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਤੋਂ ਲੈ ਕੇ ਪੂਰੀ ਸਮਝੌਤਾ ਤੱਕ
ਇਹ ਹਮਲਾ ਇੱਕ ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਇੱਕ ਚੀਨੀ-ਭਾਸ਼ਾ ਫਾਈਲ ਨਾਮ ਦੇ ਭੇਸ ਵਿੱਚ ਇੱਕ ZIP ਆਰਕਾਈਵ ਹੁੰਦਾ ਹੈ। ਜਦੋਂ ਖੋਲ੍ਹਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਹ ਆਰਕਾਈਵ ਇੱਕ ਪਹਿਲੇ-ਪੜਾਅ ਦਾ ਲੋਡਰ ਲਾਂਚ ਕਰਦਾ ਹੈ ਜੋ ਇੱਕ DLL ਫਾਈਲ ਅਤੇ ਇੱਕ FatalRAT ਕੌਂਫਿਗਰੇਟਰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ Youdao Cloud Notes ਤੱਕ ਪਹੁੰਚਦਾ ਹੈ। ਬਦਲੇ ਵਿੱਚ, ਕੌਂਫਿਗਰੇਟਰ ਸ਼ੱਕ ਨੂੰ ਘੱਟ ਕਰਨ ਲਈ ਇੱਕ ਡੀਕੋਏ ਫਾਈਲ ਖੋਲ੍ਹਦੇ ਹੋਏ ਸੰਰਚਨਾ ਡੇਟਾ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ ਇੱਕ ਹੋਰ Youdao Cloud ਨੋਟ ਤੱਕ ਪਹੁੰਚ ਕਰਦਾ ਹੈ।
ਸਟੀਲਥ ਲਈ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਦਾ ਲਾਭ ਉਠਾਉਣਾ
ਇਸ ਮੁਹਿੰਮ ਦੀ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਸ਼ੇਸ਼ਤਾ ਇਨਫੈਕਸ਼ਨ ਕ੍ਰਮ ਨੂੰ ਅੱਗੇ ਵਧਾਉਣ ਲਈ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਹੈ। ਦੂਜੇ-ਪੜਾਅ ਦਾ DLL ਲੋਡਰ myqcloud.com 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ FatalRAT ਪੇਲੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਅਤੇ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ ਜਦੋਂ ਕਿ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਧੋਖਾ ਦੇਣ ਲਈ ਇੱਕ ਨਕਲੀ ਗਲਤੀ ਸੁਨੇਹਾ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ। ਜਾਇਜ਼ ਬਾਈਨਰੀਆਂ 'ਤੇ ਨਿਰਭਰਤਾ ਹਮਲੇ ਦੀ ਲੜੀ ਨੂੰ ਨਿਯਮਤ ਸਿਸਟਮ ਗਤੀਵਿਧੀ ਨਾਲ ਮਿਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ, ਖੋਜ ਦੇ ਯਤਨਾਂ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦੀ ਹੈ।
ਖੇਡ ਵਿੱਚ ਉੱਨਤ ਚੋਰੀ ਦੀਆਂ ਰਣਨੀਤੀਆਂ
FatalRAT ਨੂੰ ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਅਤੇ ਸੈਂਡਬੌਕਸ ਵਾਤਾਵਰਣਾਂ ਨੂੰ ਪਛਾਣਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਚਲਾਉਣ ਤੋਂ ਪਹਿਲਾਂ 17 ਵੱਖ-ਵੱਖ ਜਾਂਚਾਂ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਕੋਈ ਜਾਂਚ ਅਸਫਲ ਹੋ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਬਚਣ ਲਈ ਮਾਲਵੇਅਰ ਬੰਦ ਹੋ ਜਾਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ rundll32.exe ਪ੍ਰਕਿਰਿਆ ਦੇ ਸਾਰੇ ਉਦਾਹਰਣਾਂ ਨੂੰ ਖਤਮ ਕਰ ਦਿੰਦਾ ਹੈ ਅਤੇ ਹੋਰ ਨਿਰਦੇਸ਼ਾਂ ਲਈ ਆਪਣੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਜੁੜਨ ਤੋਂ ਪਹਿਲਾਂ, ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸਥਾਪਿਤ ਸੁਰੱਖਿਆ ਹੱਲਾਂ ਬਾਰੇ ਵੇਰਵੇ ਸ਼ਾਮਲ ਹਨ।
ਇੱਕ ਬਹੁਪੱਖੀ ਅਤੇ ਧਮਕੀ ਭਰਿਆ ਸੰਦ
FatalRAT ਵਿਆਪਕ ਸਮਰੱਥਾਵਾਂ ਨਾਲ ਲੈਸ ਹੈ ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸਾਂ 'ਤੇ ਮਹੱਤਵਪੂਰਨ ਨਿਯੰਤਰਣ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਟ੍ਰੋਜਨ ਕੀਸਟ੍ਰੋਕ ਲੌਗ ਕਰ ਸਕਦਾ ਹੈ, ਮਾਸਟਰ ਬੂਟ ਰਿਕਾਰਡ (MBR) ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰ ਸਕਦਾ ਹੈ, ਸਕ੍ਰੀਨ ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਕੰਟਰੋਲ ਕਰ ਸਕਦਾ ਹੈ, ਗੂਗਲ ਕਰੋਮ ਅਤੇ ਇੰਟਰਨੈੱਟ ਐਕਸਪਲੋਰਰ ਤੋਂ ਬ੍ਰਾਊਜ਼ਰ ਡੇਟਾ ਮਿਟਾ ਸਕਦਾ ਹੈ, ਐਨੀਡੈਸਕ ਅਤੇ ਅਲਟਰਾਵਿਊਅਰ ਵਰਗੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟੂਲ ਸਥਾਪਤ ਕਰ ਸਕਦਾ ਹੈ, ਫਾਈਲ ਓਪਰੇਸ਼ਨ ਚਲਾ ਸਕਦਾ ਹੈ, ਪ੍ਰੌਕਸੀ ਕਨੈਕਸ਼ਨਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾ ਸਕਦਾ ਹੈ ਅਤੇ ਮਨਮਾਨੇ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਖਤਮ ਕਰ ਸਕਦਾ ਹੈ।
FatalRAT ਦੇ ਪਿੱਛੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਦੀ ਪਛਾਣ ਕਰਨਾ
ਜਦੋਂ ਕਿ ਅਸਲ ਅਪਰਾਧੀਆਂ ਦੀ ਪਛਾਣ ਨਹੀਂ ਹੋ ਸਕੀ, ਕਈ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਰਣਨੀਤਕ ਸਮਾਨਤਾਵਾਂ ਸੁਝਾਅ ਦਿੰਦੀਆਂ ਹਨ ਕਿ ਇਹਨਾਂ ਹਮਲਿਆਂ ਦਾ ਇੱਕ ਸਾਂਝਾ ਮੂਲ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ, ਦਰਮਿਆਨੇ ਵਿਸ਼ਵਾਸ ਨਾਲ, ਇੱਕ ਚੀਨੀ-ਭਾਸ਼ੀ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਜ਼ਿੰਮੇਵਾਰ ਹੈ। ਹਮਲੇ ਦੇ ਚੱਕਰ ਦੌਰਾਨ ਚੀਨੀ-ਭਾਸ਼ਾ ਸੇਵਾਵਾਂ ਅਤੇ ਇੰਟਰਫੇਸਾਂ ਦੀ ਨਿਰੰਤਰ ਵਰਤੋਂ ਇਸ ਸਿਧਾਂਤ ਦਾ ਹੋਰ ਸਮਰਥਨ ਕਰਦੀ ਹੈ।
ਵੱਡੀ ਤਸਵੀਰ: ਲੰਬੇ ਸਮੇਂ ਦੀ ਸਾਈਬਰ ਜਾਸੂਸੀ ਲਈ ਇੱਕ ਸਾਧਨ
FatalRAT ਦੀ ਵਿਆਪਕ ਕਾਰਜਸ਼ੀਲਤਾ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੂੰ ਲੰਬੇ ਸਮੇਂ ਲਈ ਘੁਸਪੈਠ ਲਈ ਬੇਅੰਤ ਮੌਕੇ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ। ਨੈੱਟਵਰਕਾਂ ਵਿੱਚ ਫੈਲਣ, ਵਾਧੂ ਟੂਲ ਸਥਾਪਤ ਕਰਨ, ਸਿਸਟਮਾਂ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨ ਅਤੇ ਗੁਪਤ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਦੀ ਯੋਗਤਾ ਇਸਨੂੰ ਲਗਾਤਾਰ ਹਮਲਾਵਰਾਂ ਦੇ ਹੱਥਾਂ ਵਿੱਚ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਹਥਿਆਰ ਬਣਾਉਂਦੀ ਹੈ। ਪਿਛਲੇ ਹਮਲਿਆਂ ਦੇ ਨਾਲ ਓਵਰਲੈਪ ਅਤੇ ਚੀਨੀ-ਭਾਸ਼ਾ ਸਰੋਤਾਂ ਦੀ ਵਾਰ-ਵਾਰ ਵਰਤੋਂ ਜਾਸੂਸੀ ਅਤੇ ਡੇਟਾ ਚੋਰੀ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਇੱਕ ਚੰਗੀ ਤਰ੍ਹਾਂ ਸੰਗਠਿਤ ਮੁਹਿੰਮ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ।
