FatalRAT Phishing Attacks
Ang mga organisasyong pang-industriya sa buong rehiyon ng Asia-Pacific (APAC) ay naging focus ng isang sopistikadong kampanya sa phishing na naglalayong ihatid ang banta ng FatalRAT. Ang operasyon, na maingat na inayos ng mga cybercriminal, ay umaasa sa mga lehitimong serbisyo sa cloud ng China, tulad ng myqcloud at Youdao Cloud Notes, upang mapadali ang imprastraktura ng pag-atake nito. Ang mga umaatake ay epektibong umiiwas sa pagtuklas at pinahaba ang kanilang panghihimasok sa pamamagitan ng pag-deploy ng isang multi-stage na sistema ng paghahatid ng kargamento.
Talaan ng mga Nilalaman
Mga Target na Mataas ang Halaga sa Mga Kritikal na Sektor
Ang kampanya ay nakatutok sa mga entidad ng gobyerno at mga pangunahing industriya, kabilang ang pagmamanupaktura, konstruksiyon, IT, telekomunikasyon, pangangalaga sa kalusugan, kapangyarihan, enerhiya, logistik at transportasyon. Ang listahan ng mga apektadong rehiyon ay sumasaklaw sa Taiwan, Malaysia, China, Japan, Thailand, South Korea, Singapore, Pilipinas, Vietnam at Hong Kong.
Mga Pang-akit na Partikular sa Wika para sa Pinakamataas na Epekto
Ang pagsusuri sa mga attachment ng email sa phishing ay nagpapahiwatig na ang kampanya ay pangunahing nagta-target ng mga indibidwal na nagsasalita ng Chinese. Ang diskarte na ito ay nagmumungkahi ng isang kalkuladong pagsisikap na labagin ang mga organisasyon kung saan ang Mandarin ang nangingibabaw na wika, na tinitiyak ang mas mataas na posibilidad na magtagumpay.
Ang Ebolusyon ng Mga Paraan ng Pamamahagi ng FatalRAT
Ang FatalRAT ay na-link sa iba't ibang paraan ng pamamahagi sa nakaraan. Ginamit ng mga nakaraang campaign ang pekeng Google Ads para ipalaganap ang banta. Noong Setyembre 2023, nagdokumento ang mga mananaliksik ng isa pang kampanya sa phishing na namamahagi ng FatalRAT kasama ng iba pang mga banta gaya ng Gh0st RAT, Purple Fox at ValleyRAT .
Mga koneksyon sa Silver Fox APT
Na-attribute ang ilan sa mga campaign na ito sa Silver Fox APT, isang banta na aktor na kilala sa pag-target sa mga user na nagsasalita ng Chinese at mga organisasyong Japanese. Ang koneksyon na ito ay higit na binibigyang-diin ang mga potensyal na geopolitical na motibo sa likod ng mga pag-atakeng ito.
Ang Attack Chain: Mula sa Phishing Email hanggang sa Full Compromise
Ang pag-atake ay nagsisimula sa isang phishing na email na naglalaman ng isang ZIP archive na nakatago sa isang Chinese-language na filename. Kapag binuksan, ang archive na ito ay naglulunsad ng unang yugto ng loader na umaabot sa Youdao Cloud Notes upang kunin ang isang DLL file at isang FatalRAT configurator. Ang configurator, sa turn, ay nag-a-access ng isa pang Youdao Cloud note upang kunin ang data ng configuration habang sabay na binubuksan ang isang decoy file upang mabawasan ang hinala.
Paggamit ng DLL Side-Loading para sa Stealth
Ang isang kritikal na tampok ng kampanyang ito ay ang paggamit ng mga diskarte sa side-loading ng DLL upang isulong ang pagkakasunud-sunod ng impeksyon. Ang ikalawang yugto ng DLL loader ay nagda-download at nag-i-install ng FatalRAT payload mula sa isang malayuang server na naka-host sa myqcloud.com habang nagpapakita ng pekeng mensahe ng error upang linlangin ang mga user. Ang pag-asa sa mga lehitimong binary ay nagbibigay-daan sa chain ng pag-atake na makihalo sa regular na aktibidad ng system, na nagpapalubha sa mga pagsisikap sa pagtuklas.
Advanced na Mga Taktika sa Pag-iwas sa Play
Ang FatalRAT ay idinisenyo upang makilala ang mga virtual machine at sandbox na kapaligiran, na nagsasagawa ng 17 iba't ibang pagsusuri bago isagawa. Kung mabigo ang anumang pagsusuri, magsasara ang malware upang maiwasan ang pagsusuri. Bukod pa rito, tinatapos nito ang lahat ng mga pagkakataon ng proseso ng rundll32.exe at nangangalap ng impormasyon ng system, kabilang ang mga detalye tungkol sa mga naka-install na solusyon sa seguridad, bago kumonekta sa Command-and-Control (C2) server nito para sa karagdagang mga tagubilin.
Isang Maraming Gamit at Mapanganib na Tool
Ang FatalRAT ay nilagyan ng malawak na mga kakayahan na nagbibigay sa mga umaatake ng makabuluhang kontrol sa mga nakompromisong device. Ang Trojan ay maaaring mag-log ng mga keystroke, manipulahin ang Master Boot Record (MBR), kontrolin ang mga function ng screen, tanggalin ang data ng browser mula sa Google Chrome at Internet Explorer, mag-install ng mga remote access tool tulad ng AnyDesk at UltraViewer, magsagawa ng mga pagpapatakbo ng file, paganahin ang mga proxy na koneksyon at wakasan ang mga arbitrary na proseso.
Pagkilala sa Nagbabantang Aktor sa Likod ng FatalRAT
Bagama't nananatiling hindi nakikilala ang mga eksaktong may kasalanan, ang mga taktikal na pagkakatulad sa maraming campaign ay nagmumungkahi na ang mga pag-atakeng ito ay may iisang pinagmulan. Naniniwala ang mga mananaliksik, na may katamtamang kumpiyansa, na may pananagutan ang isang aktor na banta na nagsasalita ng Chinese. Ang pare-parehong paggamit ng mga serbisyo at interface sa wikang Chinese sa buong yugto ng pag-atake ay higit pang sumusuporta sa teoryang ito.
Ang Mas Malaking Larawan: Isang Tool para sa Pangmatagalang Cyber Espionage
Ang malawak na functionality ng FatalRAT ay nagbibigay sa mga cybercriminal ng walang katapusang pagkakataon para sa pangmatagalang paglusot. Ang kakayahang kumalat sa mga network, mag-install ng mga karagdagang tool, magmanipula ng mga system, at mag-exfiltrate ng kumpidensyal na data ay ginagawa itong isang mabigat na sandata sa mga kamay ng patuloy na umaatake. Ang overlap sa mga nakaraang pag-atake at ang paulit-ulit na paggamit ng mga mapagkukunan sa wikang Chinese ay nagmumungkahi ng isang mahusay na organisadong kampanya na naglalayong espionage at pagnanakaw ng data.
