Фишинговые атаки FatalRAT
Промышленные организации в Азиатско-Тихоокеанском регионе (APAC) стали объектом сложной фишинговой кампании, направленной на доставку угрозы FatalRAT. Операция, тщательно организованная киберпреступниками, опирается на законные китайские облачные сервисы, такие как myqcloud и Youdao Cloud Notes, для облегчения инфраструктуры атаки. Злоумышленники эффективно избегают обнаружения и продлевают свое вторжение, развертывая многоступенчатую систему доставки полезной нагрузки.
Оглавление
Высокоценные цели в критически важных секторах
Кампания нацелена на государственные структуры и основные отрасли, включая производство, строительство, ИТ, телекоммуникации, здравоохранение, энергетику, логистику и транспорт. Список затронутых регионов охватывает Тайвань, Малайзию, Китай, Японию, Таиланд, Южную Корею, Сингапур, Филиппины, Вьетнам и Гонконг.
Приманки, ориентированные на конкретный язык, для максимального воздействия
Анализ фишинговых вложений электронной почты показывает, что кампания в первую очередь нацелена на говорящих по-китайски людей. Такой подход предполагает рассчитанные усилия по взлому организаций, где доминирующим языком является мандаринский, что обеспечивает более высокую вероятность успеха.
Эволюция методов распространения FatalRAT
FatalRAT был связан с различными методами распространения в прошлом. Предыдущие кампании использовали поддельные объявления Google для распространения угрозы. В сентябре 2023 года исследователи задокументировали еще одну фишинговую кампанию, распространявшую FatalRAT вместе с другими угрозами, такими как Gh0st RAT, Purple Fox и ValleyRAT .
Подключения к Silver Fox APT
Некоторые из этих кампаний приписываются Silver Fox APT, злоумышленнику, известному тем, что он нацеливается на китайскоязычных пользователей и японские организации. Эта связь еще больше подчеркивает потенциальные геополитические мотивы этих атак.
Цепочка атак: от фишингового письма до полной компрометации
Атака начинается с фишингового письма, содержащего ZIP-архив, замаскированный под имя файла на китайском языке. При открытии этот архив запускает загрузчик первой стадии, который обращается к Youdao Cloud Notes для извлечения файла DLL и конфигуратора FatalRAT. Конфигуратор, в свою очередь, обращается к другой заметке Youdao Cloud для извлечения данных конфигурации, одновременно открывая файл-приманку для минимизации подозрений.
Использование боковой загрузки DLL для скрытности
Критической особенностью этой кампании является использование методов боковой загрузки DLL для продвижения последовательности заражения. Загрузчик DLL второго этапа загружает и устанавливает полезную нагрузку FatalRAT с удаленного сервера, размещенного на myqcloud.com, одновременно отображая поддельное сообщение об ошибке для обмана пользователей. Зависимость от легитимных двоичных файлов позволяет цепочке атак смешиваться с обычной активностью системы, что усложняет усилия по обнаружению.
Продвинутые тактики уклонения в игре
FatalRAT разработан для распознавания виртуальных машин и сред-песочниц, выполняя 17 различных проверок перед выполнением. Если какая-либо проверка не проходит, вредоносная программа отключается, чтобы избежать анализа. Кроме того, она завершает все экземпляры процесса rundll32.exe и собирает системную информацию, включая сведения об установленных решениях безопасности, перед подключением к своему серверу Command-and-Control (C2) для получения дальнейших инструкций.
Универсальный и опасный инструмент
FatalRAT оснащен обширными возможностями, которые предоставляют злоумышленникам значительный контроль над скомпрометированными устройствами. Троян может регистрировать нажатия клавиш, манипулировать главной загрузочной записью (MBR), управлять функциями экрана, удалять данные браузера из Google Chrome и Internet Explorer, устанавливать инструменты удаленного доступа, такие как AnyDesk и UltraViewer, выполнять файловые операции, включать прокси-подключения и завершать произвольные процессы.
Выявление источника угрозы, стоящего за FatalRAT
Хотя точные исполнители остаются неустановленными, тактические сходства в нескольких кампаниях указывают на то, что эти атаки имеют общее происхождение. Исследователи полагают, со средней степенью уверенности, что за это несет ответственность китайскоязычный субъект угрозы. Постоянное использование китайскоязычных сервисов и интерфейсов на протяжении всего цикла атаки еще больше подтверждает эту теорию.
Общая картина: инструмент для долгосрочного кибершпионажа
Широкий функционал FatalRAT предоставляет киберпреступникам бесконечные возможности для долгосрочного проникновения. Способность распространяться по сетям, устанавливать дополнительные инструменты, манипулировать системами и извлекать конфиденциальные данные делает его грозным оружием в руках настойчивых злоумышленников. Наложение с предыдущими атаками и повторяющееся использование ресурсов на китайском языке указывают на хорошо организованную кампанию, направленную на шпионаж и кражу данных.
