FatalRAT Kimlik Avı Saldırıları
Asya-Pasifik (APAC) bölgesindeki endüstriyel kuruluşlar, FatalRAT tehdidini dağıtmayı amaçlayan karmaşık bir kimlik avı kampanyasının odak noktası haline geldi. Siber suçlular tarafından titizlikle düzenlenen operasyon, saldırı altyapısını kolaylaştırmak için myqcloud ve Youdao Cloud Notes gibi meşru Çin bulut hizmetlerine güveniyor. Saldırganlar, çok aşamalı bir yük dağıtım sistemi konuşlandırarak etkili bir şekilde tespit edilmekten kaçınıyor ve saldırılarını uzatıyor.
İçindekiler
Kritik Sektörlerde Yüksek Değerli Hedefler
Kampanya, imalat, inşaat, BT, telekomünikasyon, sağlık, güç, enerji, lojistik ve ulaşım gibi hükümet birimleri ve büyük endüstrilere odaklandı. Etkilenen bölgelerin listesi Tayvan, Malezya, Çin, Japonya, Tayland, Güney Kore, Singapur, Filipinler, Vietnam ve Hong Kong'u kapsıyor.
Maksimum Etki İçin Dil Spesifik Yemler
Kimlik avı e-posta eklerinin analizi, kampanyanın öncelikli olarak Çince konuşan bireyleri hedef aldığını gösteriyor. Bu yaklaşım, Mandarin'in baskın dil olduğu kuruluşlara sızmak için hesaplı bir çaba olduğunu ve daha yüksek bir başarı olasılığını garanti ettiğini gösteriyor.
FatalRAT’ın Dağıtım Yöntemlerinin Evrimi
FatalRAT geçmişte çeşitli dağıtım yöntemleriyle ilişkilendirilmiştir. Önceki kampanyalar tehdidi yaymak için sahte Google Reklamları kullanmıştır. Eylül 2023'te araştırmacılar, FatalRAT'ı Gh0st RAT, Purple Fox ve ValleyRAT gibi diğer tehditlerle birlikte dağıtan başka bir kimlik avı kampanyasını belgelemiştir.
Silver Fox APT’ye Bağlantılar
Bu kampanyalardan bazıları, Çince konuşan kullanıcıları ve Japon kuruluşlarını hedef alan bir tehdit aktörü olan Silver Fox APT'ye atfedildi. Bu bağlantı, bu saldırıların ardındaki potansiyel jeopolitik saikleri daha da vurguluyor.
Saldırı Zinciri: Kimlik Avı E-postasından Tam Tehlikeye
Saldırı, Çince bir dosya adıyla gizlenmiş bir ZIP arşivi içeren bir kimlik avı e-postasıyla başlar. Açıldığında, bu arşiv, bir DLL dosyası ve bir FatalRAT yapılandırıcısı almak için Youdao Cloud Notes'a ulaşan birinci aşama yükleyicisini başlatır. Yapılandırıcı, şüpheyi en aza indirmek için aynı anda bir aldatmaca dosyası açarken yapılandırma verilerini çıkarmak için başka bir Youdao Cloud notuna erişir.
Gizlilik İçin DLL Yan Yüklemeyi Kullanma
Bu kampanyanın kritik bir özelliği, enfeksiyon dizisini ilerletmek için DLL yan yükleme tekniklerinin kullanılmasıdır. İkinci aşama DLL yükleyicisi, kullanıcıları aldatmak için sahte bir hata mesajı görüntülerken FatalRAT yükünü myqcloud.com'da barındırılan uzak bir sunucudan indirir ve yükler. Meşru ikili dosyalara güvenmek, saldırı zincirinin düzenli sistem etkinliğiyle karışmasına izin vererek tespit çabalarını karmaşıklaştırır.
Oyunda Gelişmiş Kaçınma Taktikleri
FatalRAT, sanal makine ve sandbox ortamlarını tanımak ve yürütmeden önce 17 farklı kontrol gerçekleştirmek üzere tasarlanmıştır. Herhangi bir kontrol başarısız olursa, kötü amaçlı yazılım analizden kaçınmak için kapanır. Ayrıca, rundll32.exe işleminin tüm örneklerini sonlandırır ve daha fazla talimat için Command-and-Control (C2) sunucusuna bağlanmadan önce yüklü güvenlik çözümleriyle ilgili ayrıntılar dahil olmak üzere sistem bilgilerini toplar.
Çok Yönlü ve Tehditkar Bir Araç
FatalRAT, saldırganlara tehlikeye atılmış cihazlar üzerinde önemli bir kontrol sağlayan kapsamlı yeteneklerle donatılmıştır. Truva atı, tuş vuruşlarını kaydedebilir, Ana Önyükleme Kaydını (MBR) manipüle edebilir, ekran işlevlerini kontrol edebilir, Google Chrome ve Internet Explorer'dan tarayıcı verilerini silebilir, AnyDesk ve UltraViewer gibi uzaktan erişim araçlarını yükleyebilir, dosya işlemlerini yürütebilir, proxy bağlantılarını etkinleştirebilir ve keyfi işlemleri sonlandırabilir.
FatalRAT’ın Arkasındaki Tehdit Aktörünün Belirlenmesi
Tam failler henüz tanımlanmamış olsa da, birden fazla kampanyadaki taktiksel benzerlikler, bu saldırıların ortak bir kökene sahip olduğunu gösteriyor. Araştırmacılar, orta düzeyde güvenle, Çince konuşan bir tehdit aktörünün sorumlu olduğuna inanıyor. Saldırı döngüsü boyunca Çince hizmet ve arayüzlerin tutarlı bir şekilde kullanılması bu teoriyi daha da destekliyor.
Daha Büyük Resim: Uzun Vadeli Siber Casusluk İçin Bir Araç
FatalRAT'ın geniş işlevselliği, siber suçlulara uzun vadeli sızma için sonsuz fırsatlar sunar. Ağlar arasında yayılma, ek araçlar yükleme, sistemleri manipüle etme ve gizli verileri sızdırma yeteneği, onu ısrarcı saldırganların elinde zorlu bir silah haline getirir. Önceki saldırılarla örtüşmesi ve Çince kaynakların tekrar tekrar kullanılması, casusluk ve veri hırsızlığına yönelik iyi organize edilmiş bir kampanyayı düşündürmektedir.
