Фішингові атаки FatalRAT
Промислові організації в Азіатсько-Тихоокеанському регіоні (APAC) опинилися в центрі уваги складної фішингової кампанії, спрямованої на поширення загрози FatalRAT. Операція, ретельно організована кіберзлочинцями, покладається на законні китайські хмарні сервіси, такі як myqcloud і Youdao Cloud Notes, щоб полегшити свою інфраструктуру атак. Зловмисники ефективно уникають виявлення та продовжують своє вторгнення, розгортаючи багатоетапну систему доставки корисного навантаження.
Зміст
Вагомі цілі в критичних секторах
Кампанія спрямована на державні установи та основні галузі, включаючи виробництво, будівництво, ІТ, телекомунікації, охорону здоров’я, електроенергетику, енергетику, логістику та транспорт. Список постраждалих регіонів охоплює Тайвань, Малайзію, Китай, Японію, Таїланд, Південну Корею, Сінгапур, Філіппіни, В'єтнам і Гонконг.
Спеціальні мовні приманки для максимального ефекту
Аналіз фішингових вкладень електронної пошти показує, що кампанія в основному націлена на людей, які розмовляють китайською мовою. Цей підхід передбачає прораховані зусилля, спрямовані на проникнення в організації, де домінуючою мовою є мандарин, що забезпечує вищу ймовірність успіху.
Еволюція методів розповсюдження FatalRAT
Раніше FatalRAT пов’язували з різними методами розповсюдження. Попередні кампанії використовували підроблені оголошення Google для поширення загрози. У вересні 2023 року дослідники задокументували ще одну фішингову кампанію, яка поширювала FatalRAT разом з іншими загрозами, такими як Gh0st RAT, Purple Fox і ValleyRAT .
Підключення до Silver Fox APT
Деякі з цих кампаній приписують Silver Fox APT, організатору загроз, відомому тим, що націлені на китайськомовних користувачів і японські організації. Цей зв’язок ще більше підкреслює потенційні геополітичні мотиви цих атак.
Ланцюжок атак: від фішингової електронної пошти до повного злому
Атака починається з фішингового електронного листа, що містить ZIP-архів, замаскований назвою файлу китайською мовою. Після відкриття цей архів запускає завантажувач першого етапу, який звертається до Youdao Cloud Notes, щоб отримати файл DLL і конфігуратор FatalRAT. Конфігуратор, у свою чергу, отримує доступ до іншої нотатки Youdao Cloud, щоб отримати конфігураційні дані, одночасно відкриваючи файл-приманку, щоб мінімізувати підозри.
Використання DLL Side-Loading для Stealth
Важливою особливістю цієї кампанії є використання методів бокового завантаження DLL для просування послідовності зараження. Завантажувач DLL другого етапу завантажує та встановлює корисне навантаження FatalRAT із віддаленого сервера, розміщеного на myqcloud.com, одночасно показуючи фальшиве повідомлення про помилку, щоб ввести користувачів в оману. Покладення на легітимні двійкові файли дозволяє ланцюгу атаки змішуватись із звичайною діяльністю системи, ускладнюючи зусилля з виявлення.
Розширена тактика ухилення в грі
FatalRAT розроблено для розпізнавання середовищ віртуальної машини та пісочниці, виконуючи 17 різних перевірок перед виконанням. Якщо будь-яка перевірка не вдається, зловмисне програмне забезпечення вимикається, щоб уникнути аналізу. Крім того, він припиняє роботу всіх екземплярів процесу rundll32.exe і збирає системну інформацію, включаючи відомості про встановлені рішення безпеки, перед підключенням до свого сервера командування та керування (C2) для подальших інструкцій.
Універсальний і небезпечний інструмент
FatalRAT має широкі можливості, які надають зловмисникам значний контроль над скомпрометованими пристроями. Троян може реєструвати натискання клавіш, маніпулювати основним завантажувальним записом (MBR), керувати функціями екрана, видаляти дані браузера з Google Chrome і Internet Explorer, встановлювати інструменти віддаленого доступу, такі як AnyDesk і UltraViewer, виконувати операції з файлами, вмикати проксі-з'єднання та завершувати довільні процеси.
Виявлення загрози, що стоїть за FatalRAT
Хоча точні злочинці залишаються невідомими, тактична схожість у кількох кампаніях свідчить про те, що ці напади мають спільне походження. Дослідники вважають із середньою впевненістю, що відповідальність несе китайськомовний суб’єкт загрози. Послідовне використання китайськомовних служб та інтерфейсів протягом циклу атаки додатково підтверджує цю теорію.
Більша картина: інструмент для довгострокового кібершпигунства
Широкий функціонал FatalRAT надає кіберзлочинцям нескінченні можливості для довгострокового проникнення. Здатність поширюватися мережами, встановлювати додаткові інструменти, маніпулювати системами та вилучати конфіденційні дані робить його потужною зброєю в руках наполегливих зловмисників. Накладання з попередніми атаками та повторюване використання китайськомовних ресурсів свідчить про добре організовану кампанію, спрямовану на шпигунство та крадіжку даних.
