Các cuộc tấn công lừa đảo FatalRAT

Các tổ chức công nghiệp trên khắp khu vực Châu Á - Thái Bình Dương (APAC) đã trở thành tâm điểm của một chiến dịch lừa đảo tinh vi nhằm mục đích phát tán mối đe dọa FatalRAT. Hoạt động này, được tội phạm mạng dàn dựng tỉ mỉ, dựa vào các dịch vụ đám mây hợp pháp của Trung Quốc, chẳng hạn như myqcloud và Youdao Cloud Notes, để tạo điều kiện cho cơ sở hạ tầng tấn công của mình. Những kẻ tấn công đã trốn tránh phát hiện và kéo dài thời gian xâm nhập của chúng bằng cách triển khai hệ thống phân phối tải trọng nhiều giai đoạn.

Mục tiêu có giá trị cao trong các lĩnh vực quan trọng

Chiến dịch này nhắm vào các cơ quan chính phủ và các ngành công nghiệp lớn, bao gồm sản xuất, xây dựng, CNTT, viễn thông, chăm sóc sức khỏe, điện, năng lượng, hậu cần và vận tải. Danh sách các khu vực bị ảnh hưởng trải dài từ Đài Loan, Malaysia, Trung Quốc, Nhật Bản, Thái Lan, Hàn Quốc, Singapore, Philippines, Việt Nam và Hồng Kông.

Mồi nhử theo ngôn ngữ cụ thể để có tác động tối đa

Phân tích các tệp đính kèm email lừa đảo cho thấy chiến dịch này chủ yếu nhắm vào những cá nhân nói tiếng Trung. Cách tiếp cận này cho thấy nỗ lực được tính toán để xâm nhập vào các tổ chức mà tiếng Quan Thoại là ngôn ngữ chính, đảm bảo khả năng thành công cao hơn.

Sự tiến hóa của các phương pháp phân phối của FatalRAT

FatalRAT đã được liên kết với nhiều phương pháp phân phối khác nhau trong quá khứ. Các chiến dịch trước đó đã tận dụng Google Ads giả để phát tán mối đe dọa. Vào tháng 9 năm 2023, các nhà nghiên cứu đã ghi nhận một chiến dịch lừa đảo khác phân phối FatalRAT cùng với các mối đe dọa khác như Gh0st RAT, Purple Fox và ValleyRAT .

Kết nối với Silver Fox APT

Một số chiến dịch này được cho là do Silver Fox APT, một tác nhân đe dọa được biết đến với mục tiêu là người dùng nói tiếng Trung và các tổ chức Nhật Bản. Mối liên hệ này càng nhấn mạnh thêm động cơ địa chính trị tiềm ẩn đằng sau các cuộc tấn công này.

Chuỗi tấn công: Từ email lừa đảo đến xâm phạm toàn diện

Cuộc tấn công bắt đầu bằng một email lừa đảo có chứa một tệp ZIP được ngụy trang bằng tên tệp tiếng Trung. Khi mở ra, tệp này sẽ khởi chạy trình tải giai đoạn đầu tiên liên hệ với Youdao Cloud Notes để lấy tệp DLL và trình cấu hình FatalRAT. Đến lượt mình, trình cấu hình sẽ truy cập vào một ghi chú Youdao Cloud khác để trích xuất dữ liệu cấu hình đồng thời mở một tệp mồi nhử để giảm thiểu sự nghi ngờ.

Tận dụng DLL Side-Loading để tàng hình

Một tính năng quan trọng của chiến dịch này là sử dụng các kỹ thuật tải phụ DLL để thúc đẩy chuỗi lây nhiễm. Trình tải DLL giai đoạn thứ hai tải xuống và cài đặt tải trọng FatalRAT từ máy chủ từ xa được lưu trữ trên myqcloud.com trong khi hiển thị thông báo lỗi giả để đánh lừa người dùng. Việc dựa vào các tệp nhị phân hợp lệ cho phép chuỗi tấn công hòa nhập với hoạt động hệ thống thông thường, làm phức tạp thêm các nỗ lực phát hiện.

Chiến thuật né tránh nâng cao trong trò chơi

FatalRAT được thiết kế để nhận dạng môi trường máy ảo và hộp cát, thực hiện 17 lần kiểm tra khác nhau trước khi thực thi. Nếu bất kỳ lần kiểm tra nào không thành công, phần mềm độc hại sẽ tắt để tránh phân tích. Ngoài ra, nó chấm dứt tất cả các phiên bản của quy trình rundll32.exe và thu thập thông tin hệ thống, bao gồm thông tin chi tiết về các giải pháp bảo mật đã cài đặt, trước khi kết nối với máy chủ Command-and-Control (C2) để biết thêm hướng dẫn.

Một công cụ đa năng và đe dọa

FatalRAT được trang bị các khả năng mở rộng cho phép kẻ tấn công kiểm soát đáng kể các thiết bị bị xâm phạm. Trojan có thể ghi lại các lần nhấn phím, thao túng Master Boot Record (MBR), kiểm soát các chức năng màn hình, xóa dữ liệu trình duyệt khỏi Google Chrome và Internet Explorer, cài đặt các công cụ truy cập từ xa như AnyDesk và UltraViewer, thực hiện các thao tác tệp, bật kết nối proxy và chấm dứt các quy trình tùy ý.

Xác định tác nhân đe dọa đằng sau FatalRAT

Trong khi thủ phạm chính xác vẫn chưa được xác định, những điểm tương đồng về mặt chiến thuật trong nhiều chiến dịch cho thấy các cuộc tấn công này có chung nguồn gốc. Các nhà nghiên cứu tin rằng, với mức độ tin cậy trung bình, một tác nhân đe dọa nói tiếng Trung là thủ phạm. Việc sử dụng nhất quán các dịch vụ và giao diện tiếng Trung trong suốt chu kỳ tấn công càng củng cố thêm cho lý thuyết này.

Bức tranh toàn cảnh: Một công cụ cho hoạt động gián điệp mạng dài hạn

Chức năng rộng rãi của FatalRAT cung cấp cho tội phạm mạng vô số cơ hội xâm nhập lâu dài. Khả năng lan truyền trên các mạng, cài đặt các công cụ bổ sung, thao túng hệ thống và đánh cắp dữ liệu bí mật khiến nó trở thành vũ khí đáng gờm trong tay những kẻ tấn công dai dẳng. Sự trùng lặp với các cuộc tấn công trước đó và việc sử dụng thường xuyên các tài nguyên tiếng Trung cho thấy một chiến dịch được tổ chức tốt nhằm vào hoạt động gián điệp và đánh cắp dữ liệu.