FatalRAT ఫిషింగ్ దాడులు

ఆసియా-పసిఫిక్ (APAC) ప్రాంతంలోని పారిశ్రామిక సంస్థలు FatalRAT ముప్పును అందించడానికి ఉద్దేశించిన అధునాతన ఫిషింగ్ ప్రచారానికి కేంద్రంగా మారాయి. సైబర్ నేరస్థులచే జాగ్రత్తగా నిర్వహించబడే ఈ ఆపరేషన్, దాని దాడి మౌలిక సదుపాయాలను సులభతరం చేయడానికి myqcloud మరియు Youdao Cloud Notes వంటి చట్టబద్ధమైన చైనీస్ క్లౌడ్ సేవలపై ఆధారపడుతుంది. దాడి చేసేవారు బహుళ-దశల పేలోడ్ డెలివరీ వ్యవస్థను అమలు చేయడం ద్వారా గుర్తింపును సమర్థవంతంగా తప్పించుకుంటారు మరియు వారి చొరబాటును పొడిగిస్తారు.

కీలక రంగాలలో అధిక-విలువ లక్ష్యాలు

ఈ ప్రచారం ప్రభుత్వ సంస్థలు మరియు తయారీ, నిర్మాణం, ఐటీ, టెలికమ్యూనికేషన్స్, ఆరోగ్య సంరక్షణ, విద్యుత్, శక్తి, లాజిస్టిక్స్ మరియు రవాణా వంటి ప్రధాన పరిశ్రమలపై దృష్టి సారించింది. ప్రభావిత ప్రాంతాల జాబితాలో తైవాన్, మలేషియా, చైనా, జపాన్, థాయిలాండ్, దక్షిణ కొరియా, సింగపూర్, ఫిలిప్పీన్స్, వియత్నాం మరియు హాంకాంగ్ ఉన్నాయి.

గరిష్ట ప్రభావం కోసం భాషా-నిర్దిష్ట ఆకర్షణలు

ఫిషింగ్ ఇమెయిల్ అటాచ్‌మెంట్‌ల విశ్లేషణ ప్రకారం ఈ ప్రచారం ప్రధానంగా చైనీస్ మాట్లాడే వ్యక్తులను లక్ష్యంగా చేసుకుంది. ఈ విధానం మాండరిన్ ఆధిపత్య భాషగా ఉన్న సంస్థలను ఉల్లంఘించడానికి లెక్కించిన ప్రయత్నాన్ని సూచిస్తుంది, ఇది విజయానికి అధిక సంభావ్యతను నిర్ధారిస్తుంది.

FatalRAT పంపిణీ పద్ధతుల పరిణామం

FatalRAT గతంలో వివిధ పంపిణీ పద్ధతులతో ముడిపడి ఉంది. మునుపటి ప్రచారాలు ఈ ముప్పును వ్యాప్తి చేయడానికి నకిలీ Google ప్రకటనలను ఉపయోగించాయి. సెప్టెంబర్ 2023లో, పరిశోధకులు Gh0st RAT, పర్పుల్ ఫాక్స్ మరియు ValleyRAT వంటి ఇతర ముప్పులతో పాటు FatalRATను పంపిణీ చేసే మరొక ఫిషింగ్ ప్రచారాన్ని నమోదు చేశారు.

సిల్వర్ ఫాక్స్ APT కి కనెక్షన్లు

ఈ ప్రచారాలలో కొన్నింటిని సిల్వర్ ఫాక్స్ APT ఆపాదించబడింది, ఇది చైనీస్ మాట్లాడే వినియోగదారులను మరియు జపనీస్ సంస్థలను లక్ష్యంగా చేసుకోవడంలో ప్రసిద్ధి చెందిన బెదిరింపు పాత్ర. ఈ కనెక్షన్ ఈ దాడుల వెనుక ఉన్న సంభావ్య భౌగోళిక రాజకీయ ఉద్దేశాలను మరింత నొక్కి చెబుతుంది.

దాడుల గొలుసు: ఫిషింగ్ ఇమెయిల్ నుండి పూర్తి రాజీ వరకు

ఈ దాడి చైనీస్ భాషా ఫైల్ పేరుతో మారువేషంలో ఉన్న జిప్ ఆర్కైవ్‌ను కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్‌తో ప్రారంభమవుతుంది. తెరిచినప్పుడు, ఈ ఆర్కైవ్ మొదటి-దశ లోడర్‌ను ప్రారంభిస్తుంది, ఇది DLL ఫైల్ మరియు FatalRAT కాన్ఫిగరేటర్‌ను తిరిగి పొందడానికి Youdao క్లౌడ్ నోట్స్‌కు చేరుకుంటుంది. కాన్ఫిగరేటర్, అనుమానాన్ని తగ్గించడానికి డెకాయ్ ఫైల్‌ను తెరుస్తూనే కాన్ఫిగరేషన్ డేటాను సంగ్రహించడానికి మరొక Youdao క్లౌడ్ నోట్‌ను యాక్సెస్ చేస్తుంది.

స్టెల్త్ కోసం DLL సైడ్-లోడింగ్‌ను ఉపయోగించడం

ఈ ప్రచారంలో కీలకమైన లక్షణం ఏమిటంటే, ఇన్ఫెక్షన్ క్రమాన్ని ముందుకు తీసుకెళ్లడానికి DLL సైడ్-లోడింగ్ టెక్నిక్‌లను ఉపయోగించడం. రెండవ దశ DLL లోడర్ myqcloud.comలో హోస్ట్ చేయబడిన రిమోట్ సర్వర్ నుండి FatalRAT పేలోడ్‌ను డౌన్‌లోడ్ చేసి, ఇన్‌స్టాల్ చేస్తుంది, అదే సమయంలో వినియోగదారులను మోసగించడానికి నకిలీ దోష సందేశాన్ని ప్రదర్శిస్తుంది. చట్టబద్ధమైన బైనరీలపై ఆధారపడటం వలన దాడి గొలుసు సాధారణ సిస్టమ్ కార్యాచరణతో కలిసిపోతుంది, ఇది గుర్తింపు ప్రయత్నాలను క్లిష్టతరం చేస్తుంది.

ఆటలో అధునాతన ఎగవేత వ్యూహాలు

FatalRAT అనేది వర్చువల్ మెషిన్ మరియు శాండ్‌బాక్స్ వాతావరణాలను గుర్తించడానికి రూపొందించబడింది, అమలు చేయడానికి ముందు 17 వేర్వేరు తనిఖీలను నిర్వహిస్తుంది. ఏదైనా తనిఖీ విఫలమైతే, విశ్లేషణను నివారించడానికి మాల్వేర్ షట్ డౌన్ అవుతుంది. అదనంగా, ఇది rundll32.exe ప్రక్రియ యొక్క అన్ని సందర్భాలను ముగించి, తదుపరి సూచనల కోసం దాని కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌కు కనెక్ట్ అయ్యే ముందు ఇన్‌స్టాల్ చేయబడిన భద్రతా పరిష్కారాల గురించి వివరాలతో సహా సిస్టమ్ సమాచారాన్ని సేకరిస్తుంది.

బహుముఖ ప్రజ్ఞ కలిగిన మరియు బెదిరింపు సాధనం

FatalRAT విస్తృతమైన సామర్థ్యాలతో వస్తుంది, ఇవి దాడి చేసేవారికి రాజీపడిన పరికరాలపై గణనీయమైన నియంత్రణను అందిస్తాయి. ట్రోజన్ కీస్ట్రోక్‌లను లాగిన్ చేయగలదు, మాస్టర్ బూట్ రికార్డ్ (MBR)ని మార్చగలదు, స్క్రీన్ ఫంక్షన్‌లను నియంత్రించగలదు, Google Chrome మరియు Internet Explorer నుండి బ్రౌజర్ డేటాను తొలగించగలదు, AnyDesk మరియు UltraViewer వంటి రిమోట్ యాక్సెస్ సాధనాలను ఇన్‌స్టాల్ చేయగలదు, ఫైల్ ఆపరేషన్‌లను అమలు చేయగలదు, ప్రాక్సీ కనెక్షన్‌లను ప్రారంభించగలదు మరియు ఏకపక్ష ప్రక్రియలను ముగించగలదు.

FatalRAT వెనుక ఉన్న ముప్పు కారకుడిని గుర్తించడం

ఖచ్చితమైన నేరస్థులు గుర్తించబడనప్పటికీ, బహుళ ప్రచారాలలో వ్యూహాత్మక సారూప్యతలు ఈ దాడులకు ఒక సాధారణ మూలం ఉందని సూచిస్తున్నాయి. పరిశోధకులు మధ్యస్థ విశ్వాసంతో, చైనీస్ మాట్లాడే ముప్పు కారకుడు బాధ్యత వహిస్తారని నమ్ముతారు. దాడి చక్రం అంతటా చైనీస్ భాషా సేవలు మరియు ఇంటర్‌ఫేస్‌లను నిరంతరం ఉపయోగించడం ఈ సిద్ధాంతానికి మరింత మద్దతు ఇస్తుంది.

పెద్ద చిత్రం: దీర్ఘకాలిక సైబర్ గూఢచర్యానికి ఒక సాధనం

FatalRAT యొక్క విస్తృత కార్యాచరణ సైబర్ నేరస్థులకు దీర్ఘకాలిక చొరబాటుకు అంతులేని అవకాశాలను అందిస్తుంది. నెట్‌వర్క్‌లలో వ్యాపించడం, అదనపు సాధనాలను ఇన్‌స్టాల్ చేయడం, వ్యవస్థలను మార్చడం మరియు గోప్యమైన డేటాను బయటకు తీయడం వంటి సామర్థ్యం నిరంతర దాడి చేసేవారి చేతుల్లో దీనిని ఒక బలీయమైన ఆయుధంగా చేస్తుంది. మునుపటి దాడులతో అతివ్యాప్తి మరియు చైనీస్ భాషా వనరుల పునరావృత వినియోగం గూఢచర్యం మరియు డేటా దొంగతనం లక్ష్యంగా బాగా వ్యవస్థీకృత ప్రచారాన్ని సూచిస్తున్నాయి.