Napadi lažnega predstavljanja FatalRAT
Industrijske organizacije v azijsko-pacifiški regiji (APAC) so postale žarišče prefinjene kampanje lažnega predstavljanja, katere cilj je zagotoviti grožnjo FatalRAT. Operacija, ki so jo skrbno orkestrirali kibernetski kriminalci, se opira na zakonite kitajske storitve v oblaku, kot sta myqcloud in Youdao Cloud Notes, da olajša svojo infrastrukturo napadov. Napadalci se učinkovito izognejo odkritju in podaljšajo svoj vdor z uvedbo večstopenjskega sistema dostave tovora.
Kazalo
Cilji visoke vrednosti v kritičnih sektorjih
Kampanja se je osredotočila na vladne subjekte in glavne industrije, vključno s proizvodnjo, gradbeništvom, informacijsko tehnologijo, telekomunikacijami, zdravstvom, energetiko, energetiko, logistiko in transportom. Seznam prizadetih regij zajema Tajvan, Malezijo, Kitajsko, Japonsko, Tajsko, Južno Korejo, Singapur, Filipine, Vietnam in Hong Kong.
Jezikovne vabe za največji učinek
Analiza lažnih e-poštnih prilog kaže, da je kampanja usmerjena predvsem na kitajsko govoreče posameznike. Ta pristop kaže na premišljeno prizadevanje za vdor v organizacije, kjer je mandarinščina prevladujoč jezik, kar zagotavlja večjo verjetnost uspeha.
Razvoj distribucijskih metod FatalRAT
FatalRAT je bil v preteklosti povezan z različnimi načini distribucije. Prejšnje kampanje so za širjenje grožnje izkoristile lažne oglase Google. Septembra 2023 so raziskovalci dokumentirali še eno kampanjo lažnega predstavljanja, ki je distribuirala FatalRAT skupaj z drugimi grožnjami, kot so Gh0st RAT, Purple Fox in ValleyRAT .
Povezave s Silver Fox APT
Nekatere od teh kampanj so pripisali Silver Fox APT, grožnji, ki je znana po tem, da cilja na kitajsko govoreče uporabnike in japonske organizacije. Ta povezava dodatno poudarja morebitne geopolitične motive za temi napadi.
Veriga napadov: od e-pošte z lažnim predstavljanjem do popolne ogroženosti
Napad se začne z lažnim e-poštnim sporočilom, ki vsebuje arhiv ZIP, prikrit z imenom datoteke v kitajskem jeziku. Ko se ta arhiv odpre, zažene nalagalnik prve stopnje, ki doseže Youdao Cloud Notes, da pridobi datoteko DLL in konfigurator FatalRAT. Konfigurator nato dostopa do druge opombe Youdao Cloud, da izvleče podatke o konfiguraciji, hkrati pa odpre datoteko z vabo, da zmanjša sum.
Izkoriščanje stranskega nalaganja DLL za prikrito
Ključna značilnost te kampanje je uporaba tehnik stranskega nalaganja DLL za napredovanje zaporedja okužb. Nalagalnik DLL na drugi stopnji prenese in namesti koristni tovor FatalRAT z oddaljenega strežnika, ki gostuje na myqcloud.com, medtem ko prikaže lažno sporočilo o napaki, da zavede uporabnike. Zanašanje na zakonite binarne datoteke omogoča, da se veriga napadov zlije z običajno sistemsko dejavnostjo, kar oteži prizadevanja za odkrivanje.
Napredne taktike utaje v igri
FatalRAT je zasnovan za prepoznavanje virtualnih strojev in okolij peskovnika, pri čemer pred izvedbo izvede 17 različnih preverjanj. Če katero koli preverjanje ne uspe, se zlonamerna programska oprema zaustavi, da se izogne analizi. Poleg tega prekine vse primerke procesa rundll32.exe in zbere informacije o sistemu, vključno s podrobnostmi o nameščenih varnostnih rešitvah, preden se poveže s svojim strežnikom Command-and-Control (C2) za nadaljnja navodila.
Vsestransko in nevarno orodje
FatalRAT je opremljen z obsežnimi zmogljivostmi, ki napadalcem omogočajo pomemben nadzor nad ogroženimi napravami. Trojanec lahko beleži pritiske tipk, manipulira z glavnim zagonskim zapisom (MBR), nadzoruje funkcije zaslona, briše podatke brskalnika iz Google Chroma in Internet Explorerja, namesti orodja za oddaljeni dostop, kot sta AnyDesk in UltraViewer, izvaja operacije z datotekami, omogoča proxy povezave in prekine poljubne procese.
Identifikacija grožnje, ki stoji za FatalRAT
Čeprav natančni storilci ostajajo neznani, taktične podobnosti v več kampanjah kažejo, da imajo ti napadi skupen izvor. Raziskovalci s srednjo stopnjo zaupanja verjamejo, da je odgovoren kitajsko govoreči akter grožnje. Dosledna uporaba storitev in vmesnikov v kitajskem jeziku v celotnem ciklu napada dodatno podpira to teorijo.
Večja slika: orodje za dolgoročno kibernetsko vohunjenje
Široka funkcionalnost FatalRAT ponuja kiberkriminalcem neskončne možnosti za dolgoročno infiltracijo. Zaradi zmožnosti širjenja po omrežjih, namestitve dodatnih orodij, manipulacije sistemov in izločanja zaupnih podatkov je mogočno orožje v rokah vztrajnih napadalcev. Prekrivanje s prejšnjimi napadi in ponavljajoča se uporaba virov v kitajskem jeziku nakazujeta na dobro organizirano kampanjo, namenjeno vohunjenju in kraji podatkov.
