ФаталРАТ пхисхинг напади
Индустријске организације широм азијско-пацифичког (АПАЦ) региона постале су фокус софистициране пхисхинг кампање која има за циљ испоруку ФаталРАТ претње. Операција, коју су пажљиво оркестрирали сајбер криминалци, ослања се на легитимне кинеске услуге у облаку, као што су микцлоуд и Иоудао Цлоуд Нотес, како би се олакшала инфраструктура напада. Нападачи ефикасно избегавају откривање и продужавају свој упад применом вишестепеног система за испоруку терета.
Преглед садржаја
Циљеви високе вредности у критичним секторима
Кампања је усмерена на владине субјекте и главне индустрије, укључујући производњу, грађевинарство, ИТ, телекомуникације, здравство, енергију, енергију, логистику и транспорт. Списак погођених региона обухвата Тајван, Малезију, Кину, Јапан, Тајланд, Јужну Кореју, Сингапур, Филипине, Вијетнам и Хонг Конг.
Мамци специфични за језик за максималан утицај
Анализа прилога е-поште за крађу идентитета показује да је кампања првенствено усмерена на појединце који говоре кинески. Овај приступ сугерише прорачунати напор да се пробије организације у којима је мандарински доминантни језик, чиме се обезбеђује већа вероватноћа успеха.
Еволуција ФаталРАТ-ових метода дистрибуције
ФаталРАТ је у прошлости био повезан са различитим методама дистрибуције. Претходне кампање су користиле лажни Гоогле Адс за ширење претње. У септембру 2023. истраживачи су документовали још једну пхисхинг кампању која дистрибуира ФаталРАТ заједно са другим претњама као што су Гх0ст РАТ, Пурпле Фок и ВаллеиРАТ .
Везе за Силвер Фок АПТ
Неке од ових кампања су приписане Силвер Фок АПТ-у, претњи познатом по томе што циља на кориснике који говоре кинески и јапанске организације. Ова веза додатно наглашава потенцијалне геополитичке мотиве иза ових напада.
Ланац напада: од пхисхинг е-поште до потпуног компромиса
Напад почиње са пхисхинг е-поштом која садржи ЗИП архиву прерушену под именом датотеке на кинеском језику. Када се отвори, ова архива покреће учитавач прве фазе који се јавља у Иоудао Цлоуд Нотес да би преузео ДЛЛ датотеку и ФаталРАТ конфигуратор. Конфигуратор, заузврат, приступа другој Иоудао Цлоуд белешци како би извукао податке о конфигурацији док истовремено отвара датотеку за мамце да би свео сумњу на минимум.
Коришћење ДЛЛ бочног учитавања за Стеалтх
Критична карактеристика ове кампање је употреба техника бочног учитавања ДЛЛ-а за унапређење секвенце инфекције. ДЛЛ учитавач друге фазе преузима и инсталира ФаталРАТ корисни терет са удаљеног сервера који се налази на микцлоуд.цом док приказује лажну поруку о грешци како би обмануо кориснике. Ослањање на легитимне бинарне датотеке омогућава ланцу напада да се стопи са редовном активношћу система, што компликује напоре за откривање.
Напредне тактике избегавања у игри
ФаталРАТ је дизајниран да препозна виртуелне машине и окружења са сандбоком, обављајући 17 различитих провера пре извршења. Ако било која провера не успе, злонамерни софтвер се гаси да би се избегла анализа. Поред тога, он прекида све инстанце рундлл32.еке процеса и прикупља информације о систему, укључујући детаље о инсталираним безбедносним решењима, пре него што се повеже са својим сервером за команду и контролу (Ц2) за даља упутства.
Свестран и опасан алат
ФаталРАТ долази опремљен широким могућностима које нападачима дају значајну контролу над компромитованим уређајима. Тројанац може да евидентира притиске тастера, манипулише главним записом за покретање (МБР), контролише функције екрана, брише податке претраживача из Гоогле Цхроме-а и Интернет Екплорер-а, инсталира алатке за даљински приступ као што су АниДеск и УлтраВиевер, извршава операције са датотекама, омогућава прокси везе и прекида произвољне процесе.
Идентификовање актера претње иза ФаталРАТ-а
Иако су тачни починиоци и даље неидентификовани, тактичке сличности у више кампања сугеришу да ови напади имају заједничко порекло. Истраживачи верују, са средњом поузданошћу, да је одговоран актер претњи који говори кинески. Доследна употреба сервиса и интерфејса на кинеском језику током циклуса напада додатно подржава ову теорију.
Већа слика: алат за дугорочну сајбер шпијунажу
Широка функционалност ФаталРАТ-а пружа сајбер криминалцима бескрајне могућности за дугорочну инфилтрацију. Могућност ширења по мрежама, инсталирања додатних алата, манипулације системима и ексфилтрирања поверљивих података чини га страшним оружјем у рукама упорних нападача. Преклапање са претходним нападима и стално коришћење извора на кинеском језику сугеришу добро организовану кампању усмерену на шпијунажу и крађу података.
