การโจมตีฟิชชิ่ง FatalRAT
องค์กรอุตสาหกรรมทั่วทั้งภูมิภาคเอเชียแปซิฟิก (APAC) กลายเป็นจุดสนใจของแคมเปญฟิชชิ่งที่ซับซ้อนซึ่งมุ่งเป้าไปที่การส่งภัยคุกคาม FatalRAT ปฏิบัติการนี้ซึ่งควบคุมโดยอาชญากรไซเบอร์อย่างพิถีพิถันนั้นอาศัยบริการคลาวด์ของจีนที่ถูกกฎหมาย เช่น myqcloud และ Youdao Cloud Notes เพื่ออำนวยความสะดวกให้กับโครงสร้างพื้นฐานการโจมตี ผู้โจมตีสามารถหลบเลี่ยงการตรวจจับได้อย่างมีประสิทธิภาพและยืดเวลาการบุกรุกด้วยการใช้ระบบส่งมอบเพย์โหลดหลายขั้นตอน
สารบัญ
เป้าหมายที่มีมูลค่าสูงในภาคส่วนที่สำคัญ
แคมเปญดังกล่าวมีเป้าหมายไปที่หน่วยงานของรัฐและอุตสาหกรรมหลักๆ เช่น การผลิต การก่อสร้าง ไอที โทรคมนาคม การดูแลสุขภาพ พลังงาน โลจิสติกส์ และการขนส่ง รายชื่อภูมิภาคที่ได้รับผลกระทบได้แก่ ไต้หวัน มาเลเซีย จีน ญี่ปุ่น ไทย เกาหลีใต้ สิงคโปร์ ฟิลิปปินส์ เวียดนาม และฮ่องกง
เหยื่อเฉพาะภาษาเพื่อผลกระทบสูงสุด
ผลการวิเคราะห์ไฟล์แนบในอีเมลฟิชชิ่งบ่งชี้ว่าแคมเปญนี้มุ่งเป้าไปที่บุคคลที่พูดภาษาจีนเป็นหลัก แนวทางนี้ชี้ให้เห็นความพยายามที่รอบคอบในการเจาะระบบองค์กรที่ใช้ภาษาจีนกลางเป็นหลัก ซึ่งจะทำให้มีโอกาสประสบความสำเร็จสูงขึ้น
วิวัฒนาการของวิธีการจัดจำหน่ายของ FatalRAT
ในอดีต FatalRAT เชื่อมโยงกับวิธีการกระจายตัวต่างๆ แคมเปญก่อนหน้านี้ใช้ Google Ads ปลอมเพื่อเผยแพร่ภัยคุกคาม ในเดือนกันยายน 2023 นักวิจัยได้บันทึกแคมเปญฟิชชิ่งอีกครั้งที่เผยแพร่ FatalRAT ร่วมกับภัยคุกคามอื่นๆ เช่น Gh0st RAT, Purple Fox และ ValleyRAT
การเชื่อมต่อกับ Silver Fox APT
แคมเปญบางส่วนเหล่านี้ถูกระบุว่าเป็นของ Silver Fox APT ซึ่งเป็นผู้ก่อภัยคุกคามที่มักโจมตีผู้ใช้ที่พูดภาษาจีนและองค์กรของญี่ปุ่น ความเชื่อมโยงนี้ยิ่งเน้นย้ำถึงแรงจูงใจทางภูมิรัฐศาสตร์ที่อาจเกิดขึ้นเบื้องหลังการโจมตีเหล่านี้
ห่วงโซ่การโจมตี: จากอีเมล์ฟิชชิ่งสู่การบุกรุกเต็มรูปแบบ
การโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งที่มีไฟล์เก็บถาวร ZIP ที่ปลอมแปลงด้วยชื่อไฟล์ภาษาจีน เมื่อเปิดไฟล์เก็บถาวรนี้ โปรแกรมโหลดขั้นแรกที่เข้าถึง Youdao Cloud Notes เพื่อดึงไฟล์ DLL และตัวกำหนดค่า FatalRAT จากนั้นตัวกำหนดค่าจะเข้าถึงบันทึกย่อ Youdao Cloud อีกฉบับเพื่อดึงข้อมูลการกำหนดค่าในขณะเดียวกันก็เปิดไฟล์หลอกลวงเพื่อลดความน่าสงสัย
การใช้ประโยชน์จากการโหลด DLL แบบด้านข้างเพื่อ Stealth
คุณลักษณะที่สำคัญของแคมเปญนี้คือการใช้เทคนิคการโหลด DLL จากด้านข้างเพื่อเร่งลำดับการติดเชื้อ ตัวโหลด DLL ขั้นที่สองจะดาวน์โหลดและติดตั้งเพย์โหลด FatalRAT จากเซิร์ฟเวอร์ระยะไกลที่โฮสต์บน myqcloud.com พร้อมแสดงข้อความแสดงข้อผิดพลาดปลอมเพื่อหลอกลวงผู้ใช้ การพึ่งพาไฟล์ไบนารีที่ถูกต้องทำให้ห่วงโซ่การโจมตีผสมผสานกับกิจกรรมระบบปกติ ทำให้การตรวจจับมีความซับซ้อน
กลยุทธ์การหลบเลี่ยงขั้นสูงในการเล่น
FatalRAT ได้รับการออกแบบมาเพื่อจดจำเครื่องเสมือนและสภาพแวดล้อมแซนด์บ็อกซ์ โดยทำการตรวจสอบ 17 แบบก่อนดำเนินการ หากการตรวจสอบใดล้มเหลว มัลแวร์จะปิดตัวลงเพื่อหลีกเลี่ยงการวิเคราะห์ นอกจากนี้ ยังยุติอินสแตนซ์ทั้งหมดของกระบวนการ rundll32.exe และรวบรวมข้อมูลระบบ รวมถึงรายละเอียดเกี่ยวกับโซลูชันความปลอดภัยที่ติดตั้ง ก่อนที่จะเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) เพื่อรับคำแนะนำเพิ่มเติม
เครื่องมือที่มีความหลากหลายและคุกคาม
FatalRAT มาพร้อมความสามารถมากมายที่ช่วยให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ถูกบุกรุกได้อย่างมีนัยสำคัญ โทรจันสามารถบันทึกการกดแป้นพิมพ์ จัดการ Master Boot Record (MBR) ควบคุมฟังก์ชันหน้าจอ ลบข้อมูลเบราว์เซอร์จาก Google Chrome และ Internet Explorer ติดตั้งเครื่องมือการเข้าถึงระยะไกล เช่น AnyDesk และ UltraViewer ดำเนินการกับไฟล์ เปิดใช้งานการเชื่อมต่อพร็อกซี และยุติกระบวนการตามอำเภอใจ
ระบุตัวผู้ก่อภัยคุกคามที่อยู่เบื้องหลัง FatalRAT
แม้ว่าจะยังไม่สามารถระบุตัวผู้ก่อเหตุที่แท้จริงได้ แต่ความคล้ายคลึงกันในเชิงกลยุทธ์ระหว่างแคมเปญต่างๆ ชี้ให้เห็นว่าการโจมตีเหล่านี้มีต้นกำเนิดร่วมกัน นักวิจัยเชื่อด้วยความมั่นใจระดับกลางว่าผู้ก่อเหตุที่เป็นภัยคุกคามที่พูดภาษาจีนคือผู้ก่อเหตุ การใช้บริการและอินเทอร์เฟซภาษาจีนอย่างสม่ำเสมอตลอดรอบการโจมตียิ่งสนับสนุนทฤษฎีนี้มากขึ้น
ภาพรวม: เครื่องมือสำหรับการจารกรรมทางไซเบอร์ในระยะยาว
ฟังก์ชันการทำงานที่หลากหลายของ FatalRAT ช่วยให้ผู้ก่ออาชญากรรมไซเบอร์มีโอกาสแฝงตัวเข้ามาได้ในระยะยาวอย่างไม่มีที่สิ้นสุด ความสามารถในการแพร่กระจายไปทั่วเครือข่าย ติดตั้งเครื่องมือเพิ่มเติม จัดการระบบ และขโมยข้อมูลที่เป็นความลับ ทำให้เป็นอาวุธที่น่าเกรงขามในมือของผู้โจมตีอย่างต่อเนื่อง การทับซ้อนกับการโจมตีครั้งก่อนๆ และการใช้ทรัพยากรภาษาจีนซ้ำแล้วซ้ำเล่า แสดงให้เห็นว่าเป็นแคมเปญที่จัดระบบอย่างดีเพื่อมุ่งเป้าไปที่การจารกรรมและการขโมยข้อมูล
