Sulmet e phishing fatalRAT
Organizatat industriale në të gjithë rajonin Azi-Paqësor (APAC) janë bërë fokusi i një fushate të sofistikuar phishing që synon të ofrojë kërcënimin FatalRAT. Operacioni, i orkestruar me përpikëri nga kriminelët kibernetikë, mbështetet në shërbimet legjitime kineze të cloud, si myqcloud dhe Youdao Cloud Notes, për të lehtësuar infrastrukturën e sulmit. Sulmuesit shmangin në mënyrë efektive zbulimin dhe zgjasin ndërhyrjen e tyre duke vendosur një sistem të shpërndarjes së ngarkesës me shumë faza.
Tabela e Përmbajtjes
Objektivat me vlerë të lartë në sektorët kritikë
Fushata i ka vënë sytë entiteteve qeveritare dhe industrive të mëdha, duke përfshirë prodhimin, ndërtimin, IT, telekomunikacionin, kujdesin shëndetësor, energjinë, energjinë, logjistikën dhe transportin. Lista e rajoneve të prekura përfshin Tajvanin, Malajzinë, Kinën, Japoninë, Tajlandën, Korenë e Jugut, Singaporin, Filipinet, Vietnamin dhe Hong Kongun.
Joshjet specifike të gjuhës për ndikim maksimal
Analiza e bashkëngjitjeve të postës elektronike të phishing tregon se fushata synon kryesisht individët që flasin gjuhën kineze. Kjo qasje sugjeron një përpjekje të llogaritur për të shkelur organizatat ku Mandarin është gjuha mbizotëruese, duke siguruar një probabilitet më të lartë për sukses.
Evolucioni i metodave të shpërndarjes së FatalRAT
FatalRAT ka qenë i lidhur me metoda të ndryshme shpërndarjeje në të kaluarën. Fushatat e mëparshme përdorën reklamat e rreme të Google për të përhapur kërcënimin. Në shtator 2023, studiuesit dokumentuan një tjetër fushatë phishing që shpërndante FatalRAT së bashku me kërcënime të tjera si Gh0st RAT, Purple Fox dhe ValleyRAT .
Lidhjet me Silver Fox APT
Disa nga këto fushata i janë atribuar Silver Fox APT, një aktor kërcënimi i njohur për shënjestrimin e përdoruesve që flasin kinezisht dhe organizatave japoneze. Kjo lidhje thekson më tej motivet e mundshme gjeopolitike pas këtyre sulmeve.
Zinxhiri i sulmit: Nga emaili i phishing në kompromis të plotë
Sulmi fillon me një email phishing që përmban një arkiv ZIP të maskuar me një emër skedari në gjuhën kineze. Kur hapet, ky arkiv lëshon një ngarkues të fazës së parë që arrin te Youdao Cloud Notes për të marrë një skedar DLL dhe një konfigurues FatalRAT. Konfiguruesi, nga ana tjetër, akseson një shënim tjetër Youdao Cloud për të nxjerrë të dhënat e konfigurimit ndërsa hap njëkohësisht një skedar mashtrimi për të minimizuar dyshimin.
Përdorimi i ngarkimit anësor të DLL për vjedhje
Një tipar kritik i kësaj fushate është përdorimi i teknikave të ngarkimit anësor DLL për të avancuar sekuencën e infeksionit. Ngarkuesi i fazës së dytë DLL shkarkon dhe instalon ngarkesën FatalRAT nga një server i largët i vendosur në myqcloud.com ndërsa shfaq një mesazh gabimi të rremë për të mashtruar përdoruesit. Mbështetja në binarët legjitimë lejon që zinxhiri i sulmit të përzihet me aktivitetin e rregullt të sistemit, duke komplikuar përpjekjet e zbulimit.
Taktika të avancuara të evazionit në lojë
FatalRAT është krijuar për të njohur mjediset e makinës virtuale dhe sandbox, duke kryer 17 kontrolle të ndryshme përpara ekzekutimit. Nëse ndonjë kontroll dështon, malware mbyllet për të shmangur analizën. Për më tepër, ai përfundon të gjitha rastet e procesit rundll32.exe dhe mbledh informacione të sistemit, duke përfshirë detaje rreth zgjidhjeve të instaluara të sigurisë, përpara se të lidhet me serverin e tij Command-and-Control (C2) për udhëzime të mëtejshme.
Një mjet i gjithanshëm dhe kërcënues
FatalRAT vjen i pajisur me aftësi të gjera që u japin sulmuesve kontroll të konsiderueshëm mbi pajisjet e komprometuara. Trojani mund të regjistrojë goditjet e tastieve, të manipulojë Regjistrin Master Boot (MBR), të kontrollojë funksionet e ekranit, të fshijë të dhënat e shfletuesit nga Google Chrome dhe Internet Explorer, të instalojë mjete të aksesit në distancë si AnyDesk dhe UltraViewer, të ekzekutojë operacione skedarësh, të aktivizojë lidhjet e proxy dhe të përfundojë proceset arbitrare.
Identifikimi i aktorit kërcënues pas FatalRAT
Ndërsa autorët e saktë mbeten të paidentifikuar, ngjashmëritë taktike nëpër fushata të shumta sugjerojnë se këto sulme kanë një origjinë të përbashkët. Studiuesit besojnë, me besim të mesëm, se një aktor kërcënimi që flet kinezisht është përgjegjës. Përdorimi i vazhdueshëm i shërbimeve dhe ndërfaqeve në gjuhën kineze gjatë gjithë ciklit të sulmit e mbështet më tej këtë teori.
Fotografia më e madhe: Një mjet për spiunazhin kibernetik afatgjatë
Funksionaliteti i gjerë i FatalRAT u ofron kriminelëve kibernetikë mundësi të pafundme për infiltrim afatgjatë. Aftësia për t'u përhapur nëpër rrjete, për të instaluar mjete shtesë, për të manipuluar sistemet dhe për të shfrytëzuar të dhëna konfidenciale e bën atë një armë të frikshme në duart e sulmuesve të vazhdueshëm. Mbivendosja me sulmet e mëparshme dhe përdorimi i përsëritur i burimeve në gjuhën kineze sugjeron një fushatë të mirëorganizuar që synon spiunazhin dhe vjedhjen e të dhënave.
