FatalRAT 网络钓鱼攻击

亚太地区 (APAC) 的工业组织已成为旨在传播 FatalRAT 威胁的复杂网络钓鱼活动的焦点。该行动由网络犯罪分子精心策划，依靠合法的中国云服务（如 myqcloud 和有道云笔记）来促进其攻击基础设施。攻击者通过部署多阶段有效载荷传递系统有效地逃避检测并延长入侵时间。

关键领域的高价值目标

此次攻击活动瞄准政府实体和主要行业，包括制造业、建筑业、IT、电信、医疗保健、电力、能源、物流和运输。受影响地区包括台湾、马来西亚、中国、日本、泰国、韩国、新加坡、菲律宾、越南和香港。

针对特定语言的诱饵，以实现最大效果

对钓鱼邮件附件的分析表明，该活动主要针对讲中文的个人。这种方法表明，攻击者精心策划了针对以普通话为主的组织的攻击，以确保成功的可能性更高。

FatalRAT 传播方法的演变

FatalRAT 过去曾与多种传播方式有关。先前的活动利用虚假的 Google 广告来传播威胁。2023 年 9 月，研究人员记录了另一场网络钓鱼活动，该活动将FatalRAT与Gh0st RAT、 Purple Fox和ValleyRAT等其他威胁一起传播。

与 Silver Fox APT 的联系

其中一些活动被归咎于 Silver Fox APT，该威胁行为者以针对中文用户和日本组织而闻名。这种联系进一步强调了这些攻击背后潜在的地缘政治动机。

攻击链：从钓鱼电子邮件到全面入侵

攻击始于一封钓鱼电子邮件，其中包含一个伪装成中文文件名的 ZIP 存档。打开后，此存档会启动第一阶段加载程序，该加载程序会联系有道云笔记以检索 DLL 文件和 FatalRAT 配置器。配置器随后会访问另一个有道云笔记以提取配置数据，同时打开诱饵文件以尽量减少怀疑。

利用 DLL 侧加载实现隐身

此次攻击活动的一个关键特征是使用 DLL 侧载技术来推进感染序列。第二阶段 DLL 加载程序从托管在 myqcloud.com 上的远程服务器下载并安装 FatalRAT 负载，同时显示虚假错误消息以欺骗用户。对合法二进制文件的依赖使攻击链能够与常规系统活动融合，使检测工作变得复杂。

游戏中的高级逃避战术

FatalRAT 旨在识别虚拟机和沙盒环境，在执行前执行 17 种不同的检查。如果任何检查失败，恶意软件就会关闭以避免被分析。此外，它会终止 rundll32.exe 进程的所有实例并收集系统信息，包括有关已安装安全解决方案的详细信息，然后连接到其命令和控制 (C2) 服务器以获取进一步的指令。

一种多功能且具有威胁性的工具

FatalRAT 具备广泛的功能，可让攻击者对受感染的设备进行重大控制。该木马可以记录击键、操纵主引导记录 (MBR)、控制屏幕功能、从 Google Chrome 和 Internet Explorer 中删除浏览器数据、安装 AnyDesk 和 UltraViewer 等远程访问工具、执行文件操作、启用代理连接以及终止任意进程。

识别 FatalRAT 背后的威胁行为者

虽然确切的肇事者仍未确定，但多个攻击活动中战术上的相似性表明这些攻击有共同的起源。研究人员认为，有中等把握的是，一名讲中文的威胁行为者是肇事者。整个攻击周期中始终使用中文服务和界面进一步支持了这一理论。

更大图景：长期网络间谍工具

FatalRAT 的广泛功能为网络犯罪分子提供了无限的长期渗透机会。它能够跨网络传播、安装其他工具、操纵系统并窃取机密数据，因此成为持续攻击者手中的强大武器。与之前的攻击重叠，以及反复使用中文资源，表明这是一场精心组织的活动，旨在进行间谍活动和数据盗窃。