Ataki phishingowe FatalRAT
Organizacje przemysłowe w regionie Azji i Pacyfiku (APAC) stały się celem wyrafinowanej kampanii phishingowej mającej na celu dostarczenie zagrożenia FatalRAT. Operacja, skrupulatnie zorganizowana przez cyberprzestępców, opiera się na legalnych chińskich usługach w chmurze, takich jak myqcloud i Youdao Cloud Notes, aby ułatwić infrastrukturę ataku. Atakujący skutecznie unikają wykrycia i przedłużają swoje wtargnięcie, wdrażając wieloetapowy system dostarczania ładunku.
Spis treści
Cele o wysokiej wartości w sektorach krytycznych
Kampania skupiła się na podmiotach rządowych i głównych gałęziach przemysłu, w tym produkcji, budownictwie, IT, telekomunikacji, opiece zdrowotnej, energetyce, logistyce i transporcie. Lista dotkniętych regionów obejmuje Tajwan, Malezję, Chiny, Japonię, Tajlandię, Koreę Południową, Singapur, Filipiny, Wietnam i Hongkong.
Przynęty specyficzne dla danego języka zapewniające maksymalny wpływ
Analiza załączników do wiadomości phishingowych wskazuje, że kampania jest skierowana głównie do osób mówiących po chińsku. To podejście sugeruje celowe działanie mające na celu naruszenie bezpieczeństwa organizacji, w których dominującym językiem jest mandaryński, co zapewnia większe prawdopodobieństwo sukcesu.
Ewolucja metod dystrybucji FatalRAT
FatalRAT był w przeszłości powiązany z różnymi metodami dystrybucji. Poprzednie kampanie wykorzystywały fałszywe reklamy Google do rozpowszechniania zagrożenia. We wrześniu 2023 r. badacze udokumentowali kolejną kampanię phishingową dystrybuującą FatalRAT obok innych zagrożeń, takich jak Gh0st RAT, Purple Fox i ValleyRAT .
Połączenia z Silver Fox APT
Niektóre z tych kampanii przypisano Silver Fox APT, aktorowi zagrożeń znanemu z atakowania użytkowników chińskojęzycznych i japońskich organizacji. To powiązanie dodatkowo podkreśla potencjalne geopolityczne motywy stojące za tymi atakami.
Łańcuch ataku: od wiadomości phishingowych do całkowitego naruszenia
Atak rozpoczyna się od wiadomości e-mail phishing zawierającej archiwum ZIP zamaskowane pod nazwą pliku w języku chińskim. Po otwarciu archiwum uruchamia ono ładowarkę pierwszego etapu, która dociera do Youdao Cloud Notes w celu pobrania pliku DLL i konfiguratora FatalRAT. Konfigurator z kolei uzyskuje dostęp do innej notatki Youdao Cloud w celu wyodrębnienia danych konfiguracyjnych, jednocześnie otwierając plik-przynętę, aby zminimalizować podejrzenia.
Wykorzystanie bocznego ładowania DLL w celu zapewnienia ukrycia
Krytyczną cechą tej kampanii jest wykorzystanie technik bocznego ładowania DLL w celu posunięcia sekwencji infekcji. Ładowarka DLL drugiego etapu pobiera i instaluje ładunek FatalRAT ze zdalnego serwera hostowanego na myqcloud.com, wyświetlając jednocześnie fałszywy komunikat o błędzie, aby oszukać użytkowników. Poleganie na legalnych plikach binarnych pozwala łańcuchowi ataku wtopić się w regularną aktywność systemu, co komplikuje działania detekcyjne.
Zaawansowane taktyki unikania w grze
FatalRAT został zaprojektowany do rozpoznawania środowisk maszyn wirtualnych i piaskownic, wykonując 17 różnych kontroli przed uruchomieniem. Jeśli którakolwiek kontrola się nie powiedzie, malware wyłącza się, aby uniknąć analizy. Ponadto kończy wszystkie wystąpienia procesu rundll32.exe i zbiera informacje o systemie, w tym szczegóły dotyczące zainstalowanych rozwiązań bezpieczeństwa, przed połączeniem się z serwerem Command-and-Control (C2) w celu uzyskania dalszych instrukcji.
Wszechstronne i groźne narzędzie
FatalRAT jest wyposażony w rozbudowane możliwości, które dają atakującym znaczną kontrolę nad zainfekowanymi urządzeniami. Trojan może rejestrować naciśnięcia klawiszy, manipulować Master Boot Record (MBR), sterować funkcjami ekranu, usuwać dane przeglądarki z Google Chrome i Internet Explorer, instalować narzędzia zdalnego dostępu, takie jak AnyDesk i UltraViewer, wykonywać operacje na plikach, włączać połączenia proxy i kończyć dowolne procesy.
Identyfikacja sprawcy zagrożenia, który stoi za FatalRAT
Choć dokładni sprawcy pozostają niezidentyfikowani, podobieństwa taktyczne w wielu kampaniach sugerują, że ataki te mają wspólne pochodzenie. Badacze uważają, ze średnim przekonaniem, że odpowiedzialny jest aktor zagrożenia mówiący po chińsku. Spójne korzystanie z usług i interfejsów w języku chińskim w całym cyklu ataku dodatkowo potwierdza tę teorię.
Szerszy obraz: narzędzie do długoterminowego cybernetycznego szpiegostwa
Szeroka funkcjonalność FatalRAT zapewnia cyberprzestępcom nieograniczone możliwości długoterminowej infiltracji. Możliwość rozprzestrzeniania się w sieciach, instalowania dodatkowych narzędzi, manipulowania systemami i eksfiltracji poufnych danych sprawia, że jest to potężna broń w rękach wytrwałych atakujących. Nakładanie się z poprzednimi atakami i powtarzające się wykorzystywanie zasobów w języku chińskim sugerują dobrze zorganizowaną kampanię mającą na celu szpiegostwo i kradzież danych.
