FatalRAT phishingové útoky
Priemyselné organizácie v regióne Ázie a Tichomoria (APAC) sa stali stredobodom sofistikovanej phishingovej kampane zameranej na doručenie hrozby FatalRAT. Operácia, starostlivo organizovaná kyberzločincami, sa spolieha na legitímne čínske cloudové služby, ako sú myqcloud a Youdao Cloud Notes, na uľahčenie svojej útočnej infraštruktúry. Útočníci sa efektívne vyhýbajú detekcii a predlžujú svoj prienik nasadením viacstupňového systému doručovania užitočného zaťaženia.
Obsah
Vysokohodnotné ciele v kritických sektoroch
Kampaň sa zameriava na vládne subjekty a hlavné priemyselné odvetvia vrátane výroby, stavebníctva, IT, telekomunikácií, zdravotníctva, energetiky, energetiky, logistiky a dopravy. Zoznam postihnutých regiónov zahŕňa Taiwan, Malajziu, Čínu, Japonsko, Thajsko, Južnú Kóreu, Singapur, Filipíny, Vietnam a Hong Kong.
Jazykovo špecifické návnady pre maximálny účinok
Analýza phishingových e-mailových príloh naznačuje, že kampaň sa primárne zameriava na čínsky hovoriacich jednotlivcov. Tento prístup naznačuje vypočítavú snahu porušiť organizácie, kde je dominantným jazykom mandarínčina, čím sa zabezpečí vyššia pravdepodobnosť úspechu.
Vývoj distribučných metód FatalRAT
FatalRAT bol v minulosti spojený s rôznymi distribučnými metódami. Predchádzajúce kampane využívali falošné reklamy Google Ads na šírenie hrozby. V septembri 2023 výskumníci zdokumentovali ďalšiu phishingovú kampaň distribuujúcu FatalRAT spolu s ďalšími hrozbami, ako sú Gh0st RAT, Purple Fox a ValleyRAT .
Pripojenie k Silver Fox APT
Niektoré z týchto kampaní boli pripísané Silver Fox APT, aktérovi hrozieb, ktorý je známy tým, že sa zameriava na čínsky hovoriacich používateľov a japonské organizácie. Toto spojenie ešte viac zdôrazňuje potenciálne geopolitické motívy týchto útokov.
Reťazec útokov: Od phishingového e-mailu po úplný kompromis
Útok začína phishingovým e-mailom obsahujúcim archív ZIP maskovaný názvom súboru v čínskom jazyku. Po otvorení tento archív spustí zavádzač prvej fázy, ktorý sa dostane do Youdao Cloud Notes, aby získal súbor DLL a konfigurátor FatalRAT. Konfigurátor zase pristupuje k ďalšej poznámke Youdao Cloud, aby extrahoval konfiguračné údaje a súčasne otvoril súbor návnady, aby sa minimalizovalo podozrenie.
Využitie DLL Side-Loading pre utajenie
Kritickým rysom tejto kampane je použitie techník bočného načítania DLL na zlepšenie sekvencie infekcie. Druhá fáza zavádzača DLL stiahne a nainštaluje obsah FatalRAT zo vzdialeného servera hosťovaného na myqcloud.com, pričom zobrazí falošnú chybovú správu, aby oklamal používateľov. Spoliehanie sa na legitímne binárne súbory umožňuje reťazci útokov splynúť s bežnou aktivitou systému, čo komplikuje snahy o detekciu.
Pokročilá úniková taktika v hre
FatalRAT je navrhnutý tak, aby rozpoznal prostredia virtuálneho stroja a karantény a pred spustením vykonal 17 rôznych kontrol. Ak akákoľvek kontrola zlyhá, malvér sa vypne, aby sa zabránilo analýze. Okrem toho ukončí všetky inštancie procesu rundll32.exe a zhromažďuje systémové informácie vrátane podrobností o nainštalovaných bezpečnostných riešeniach pred pripojením k svojmu serveru Command-and-Control (C2) a získa ďalšie pokyny.
Všestranný a hrozivý nástroj
FatalRAT je vybavený rozsiahlymi funkciami, ktoré útočníkom poskytujú značnú kontrolu nad napadnutými zariadeniami. Trójsky kôň môže zaznamenávať stlačenia klávesov, manipulovať s hlavným zavádzacím záznamom (MBR), ovládať funkcie obrazovky, odstraňovať údaje prehliadača z prehliadača Google Chrome a Internet Explorer, inštalovať nástroje vzdialeného prístupu ako AnyDesk a UltraViewer, vykonávať operácie so súbormi, povoliť pripojenia proxy a ukončiť ľubovoľné procesy.
Identifikácia aktéra hrozby za FatalRAT
Zatiaľ čo presní páchatelia zostávajú neznámi, taktické podobnosti vo viacerých kampaniach naznačujú, že tieto útoky majú spoločný pôvod. Výskumníci so strednou istotou veria, že za to môže čínsky hovoriaci aktér hrozby. Dôsledné používanie služieb a rozhraní v čínskom jazyku počas celého cyklu útoku túto teóriu ďalej podporuje.
Väčší obraz: Nástroj na dlhodobú kybernetickú špionáž
Široká funkčnosť FatalRAT poskytuje kyberzločincom nekonečné možnosti dlhodobej infiltrácie. Schopnosť šíriť sa po sieťach, inštalovať ďalšie nástroje, manipulovať so systémami a exfiltrovať dôverné údaje z neho robí impozantnú zbraň v rukách vytrvalých útočníkov. Prekrývanie sa s predchádzajúcimi útokmi a opakované používanie zdrojov v čínskom jazyku naznačujú dobre organizovanú kampaň zameranú na špionáž a krádež údajov.
