FatalRAT ஃபிஷிங் தாக்குதல்கள்
ஆசிய-பசிபிக் (APAC) பிராந்தியம் முழுவதும் உள்ள தொழில்துறை நிறுவனங்கள், FatalRAT அச்சுறுத்தலை வழங்குவதை நோக்கமாகக் கொண்ட ஒரு அதிநவீன ஃபிஷிங் பிரச்சாரத்தின் மையமாக மாறியுள்ளன. சைபர் குற்றவாளிகளால் மிகவும் கவனமாக திட்டமிடப்பட்ட இந்த நடவடிக்கை, அதன் தாக்குதல் உள்கட்டமைப்பை எளிதாக்க myqcloud மற்றும் Youdao Cloud Notes போன்ற சட்டப்பூர்வமான சீன கிளவுட் சேவைகளை நம்பியுள்ளது. தாக்குதல் நடத்துபவர்கள் கண்டறிதலைத் திறம்படத் தவிர்த்து, பல-நிலை பேலோட் டெலிவரி அமைப்பைப் பயன்படுத்துவதன் மூலம் தங்கள் ஊடுருவலை நீடிக்கின்றனர்.
பொருளடக்கம்
முக்கியமான துறைகளில் உயர் மதிப்பு இலக்குகள்
இந்த பிரச்சாரம் உற்பத்தி, கட்டுமானம், தகவல் தொழில்நுட்பம், தொலைத்தொடர்பு, சுகாதாரம், மின்சாரம், எரிசக்தி, தளவாடங்கள் மற்றும் போக்குவரத்து உள்ளிட்ட அரசு நிறுவனங்கள் மற்றும் முக்கிய தொழில்கள் மீது தனது பார்வையை செலுத்தியுள்ளது. பாதிக்கப்பட்ட பகுதிகளின் பட்டியலில் தைவான், மலேசியா, சீனா, ஜப்பான், தாய்லாந்து, தென் கொரியா, சிங்கப்பூர், பிலிப்பைன்ஸ், வியட்நாம் மற்றும் ஹாங்காங் ஆகியவை அடங்கும்.
அதிகபட்ச தாக்கத்திற்கான மொழி சார்ந்த கவர்ச்சிகள்
ஃபிஷிங் மின்னஞ்சல் இணைப்புகளின் பகுப்பாய்வு, இந்த பிரச்சாரம் முதன்மையாக சீன மொழி பேசும் நபர்களை குறிவைக்கிறது என்பதைக் குறிக்கிறது. இந்த அணுகுமுறை மாண்டரின் ஆதிக்கம் செலுத்தும் மொழியாக இருக்கும் நிறுவனங்களை உடைக்க திட்டமிட்ட முயற்சியைக் குறிக்கிறது, இது வெற்றிக்கான அதிக வாய்ப்பை உறுதி செய்கிறது.
FatalRAT இன் விநியோக முறைகளின் பரிணாமம்
FatalRAT கடந்த காலங்களில் பல்வேறு விநியோக முறைகளுடன் இணைக்கப்பட்டுள்ளது. முந்தைய பிரச்சாரங்கள் அச்சுறுத்தலைப் பரப்ப போலி கூகிள் விளம்பரங்களைப் பயன்படுத்தின. செப்டம்பர் 2023 இல், Gh0st RAT, Purple Fox மற்றும் ValleyRAT போன்ற பிற அச்சுறுத்தல்களுடன் FatalRAT ஐ விநியோகிக்கும் மற்றொரு ஃபிஷிங் பிரச்சாரத்தை ஆராய்ச்சியாளர்கள் ஆவணப்படுத்தினர்.
சில்வர் ஃபாக்ஸ் APT உடனான இணைப்புகள்
இந்த பிரச்சாரங்களில் சில, சீன மொழி பேசும் பயனர்கள் மற்றும் ஜப்பானிய அமைப்புகளை குறிவைப்பதில் பெயர் பெற்ற அச்சுறுத்தல் நடிகரான சில்வர் ஃபாக்ஸ் APT உடன் தொடர்புடையதாகக் கூறப்படுகிறது. இந்தத் தாக்குதல்களுக்குப் பின்னால் உள்ள சாத்தியமான புவிசார் அரசியல் நோக்கங்களை இந்த இணைப்பு மேலும் வலியுறுத்துகிறது.
தாக்குதல் சங்கிலி: ஃபிஷிங் மின்னஞ்சலில் இருந்து முழு சமரசம் வரை
இந்தத் தாக்குதல், சீன மொழி கோப்புப் பெயருடன் மாறுவேடமிட்ட ZIP காப்பகத்தைக் கொண்ட ஃபிஷிங் மின்னஞ்சலுடன் தொடங்குகிறது. திறக்கப்படும்போது, இந்தக் காப்பகம் முதல்-நிலை ஏற்றியைத் தொடங்குகிறது, இது ஒரு DLL கோப்பையும் ஒரு FatalRAT கட்டமைப்பாளரையும் மீட்டெடுக்க Youdao Cloud Notes-ஐ அடைகிறது. கட்டமைப்பாளர், சந்தேகத்தைக் குறைக்க ஒரு decoy கோப்பைத் திறக்கும் அதே வேளையில், உள்ளமைவுத் தரவைப் பிரித்தெடுக்க மற்றொரு Youdao Cloud குறிப்பை அணுகுகிறார்.
திருட்டுத்தனத்திற்கு DLL பக்க ஏற்றுதலைப் பயன்படுத்துதல்
இந்த பிரச்சாரத்தின் ஒரு முக்கிய அம்சம், தொற்று வரிசையை மேம்படுத்த DLL பக்க-ஏற்றுதல் நுட்பங்களைப் பயன்படுத்துவதாகும். இரண்டாம் கட்ட DLL ஏற்றி, பயனர்களை ஏமாற்ற ஒரு போலி பிழைச் செய்தியைக் காண்பிக்கும் அதே வேளையில், myqcloud.com இல் ஹோஸ்ட் செய்யப்பட்ட தொலை சேவையகத்திலிருந்து FatalRAT பேலோடை பதிவிறக்கம் செய்து நிறுவுகிறது. முறையான பைனரிகளை நம்பியிருப்பது தாக்குதல் சங்கிலியை வழக்கமான கணினி செயல்பாட்டுடன் கலக்க அனுமதிக்கிறது, இது கண்டறிதல் முயற்சிகளை சிக்கலாக்குகிறது.
விளையாட்டில் மேம்பட்ட தப்பிக்கும் தந்திரங்கள்
FatalRAT மெய்நிகர் இயந்திரம் மற்றும் சாண்ட்பாக்ஸ் சூழல்களை அடையாளம் காண வடிவமைக்கப்பட்டுள்ளது, செயல்படுத்துவதற்கு முன்பு 17 வெவ்வேறு சோதனைகளைச் செய்கிறது. ஏதேனும் சரிபார்ப்பு தோல்வியுற்றால், பகுப்பாய்வைத் தவிர்க்க தீம்பொருள் மூடப்படும். கூடுதலாக, இது rundll32.exe செயல்முறையின் அனைத்து நிகழ்வுகளையும் முடித்து, நிறுவப்பட்ட பாதுகாப்பு தீர்வுகள் பற்றிய விவரங்கள் உட்பட கணினித் தகவலைச் சேகரித்து, மேலும் வழிமுறைகளுக்கு அதன் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் இணைக்கும் முன் சேகரிக்கிறது.
பல்துறை மற்றும் அச்சுறுத்தும் கருவி
FatalRAT, தாக்குபவர்களுக்கு சமரசம் செய்யப்பட்ட சாதனங்கள் மீது குறிப்பிடத்தக்க கட்டுப்பாட்டை வழங்கும் விரிவான திறன்களைக் கொண்டுள்ளது. ட்ரோஜன் விசை அழுத்தங்களை பதிவு செய்யலாம், மாஸ்டர் பூட் ரெக்கார்டை (MBR) கையாளலாம், திரை செயல்பாடுகளை கட்டுப்படுத்தலாம், கூகிள் குரோம் மற்றும் இன்டர்நெட் எக்ஸ்ப்ளோரரிலிருந்து உலாவி தரவை நீக்கலாம், AnyDesk மற்றும் UltraViewer போன்ற தொலைநிலை அணுகல் கருவிகளை நிறுவலாம், கோப்பு செயல்பாடுகளை இயக்கலாம், ப்ராக்ஸி இணைப்புகளை இயக்கலாம் மற்றும் தன்னிச்சையான செயல்முறைகளை நிறுத்தலாம்.
FatalRAT-க்குப் பின்னால் இருக்கும் அச்சுறுத்தல் நபரை அடையாளம் காணுதல்
சரியான குற்றவாளிகள் அடையாளம் காணப்படாமல் இருந்தாலும், பல பிரச்சாரங்களில் காணப்படும் தந்திரோபாய ஒற்றுமைகள் இந்தத் தாக்குதல்கள் ஒரு பொதுவான தோற்றத்தைப் பகிர்ந்து கொள்கின்றன என்பதைக் குறிக்கின்றன. ஆராய்ச்சியாளர்கள், நடுத்தர நம்பிக்கையுடன், சீன மொழி பேசும் அச்சுறுத்தல் தரப்பினரே இதற்குப் பொறுப்பு என்று நம்புகிறார்கள். தாக்குதல் சுழற்சி முழுவதும் சீன மொழி சேவைகள் மற்றும் இடைமுகங்களின் தொடர்ச்சியான பயன்பாடு இந்தக் கோட்பாட்டை மேலும் ஆதரிக்கிறது.
பெரிய படம்: நீண்டகால சைபர் உளவுத்துறைக்கான ஒரு கருவி
FatalRAT-இன் பரந்த செயல்பாடு, சைபர் குற்றவாளிகளுக்கு நீண்டகால ஊடுருவலுக்கான முடிவற்ற வாய்ப்புகளை வழங்குகிறது. நெட்வொர்க்குகள் முழுவதும் பரவுதல், கூடுதல் கருவிகளை நிறுவுதல், அமைப்புகளை கையாளுதல் மற்றும் ரகசியத் தரவை வெளியேற்றுதல் ஆகியவை, தொடர்ந்து தாக்குபவர்களின் கைகளில் ஒரு வலிமையான ஆயுதமாக அமைகின்றன. முந்தைய தாக்குதல்களுடன் ஒன்றுடன் ஒன்று இணைந்திருப்பதும், சீன மொழி வளங்களை மீண்டும் மீண்டும் பயன்படுத்துவதும், உளவு பார்த்தல் மற்றும் தரவு திருட்டை இலக்காகக் கொண்ட நன்கு ஒழுங்கமைக்கப்பட்ட பிரச்சாரத்தைக் குறிக்கிறது.
