FatalRAT 網路釣魚攻擊

整個亞太地區 (APAC) 的工業組織已成為旨在傳播 FatalRAT 威脅的複雜網路釣魚活動的焦點。這項行動由網路犯罪分子精心策劃，依靠阿里雲和有道雲筆記等合法的中國雲端服務來支撐其攻擊基礎設施。攻擊者透過部署多階段有效載荷傳送系統有效地逃避偵測並延長入侵時間。

關鍵領域的高價值目標

該活動瞄準政府實體和主要產業，包括製造業、建築業、IT、電信、醫療保健、電力、能源、物流和運輸。受影響地區包括台灣、馬來西亞、中國、日本、泰國、韓國、新加坡、菲律賓、越南和香港。

針對特定語言的誘餌，以達到最大效果

對網路釣魚電子郵件附件的分析表明，該活動主要針對講中文的個人。這種方法表明，攻擊者需要精心策劃，突破以普通話為主導語言的組織，以確保更高的成功率。

FatalRAT 傳播法的演變

FatalRAT 過去曾與多種傳播方式有關。先前的活動利用虛假的 Google 廣告來傳播威脅。 2023 年 9 月，研究人員記錄了另一次網路釣魚活動，其中傳播FatalRAT以及Gh0st RAT、 Purple Fox和ValleyRAT等其他威脅。

與 Silver Fox APT 的聯繫

其中一些活動被歸咎於 Silver Fox APT，這是一個以針對中文用戶和日本組織而聞名的威脅行為者。這種聯繫進一步強調了這些攻擊背後潛在的地緣政治動機。

攻擊鏈：從釣魚電子郵件到全面入侵

攻擊始於一封網路釣魚電子郵件，其中包含一個以中文檔案名稱偽裝的 ZIP 檔案。開啟後，檔案會啟動第一階段載入器，該載入器會聯絡有道雲筆記來檢索 DLL 檔案和 FatalRAT 配置器。反過來，配置器存取另一個有道雲筆記來提取配置數據，同時打開誘餌文件以盡量減少懷疑。

利用 DLL 側載實現隱身

此次活動的關鍵特徵是使用 DLL 側負載技術來推進感染序列。第二階段 DLL 載入程式從託管在 myqcloud.com 上的遠端伺服器下載並安裝 FatalRAT 負載，同時顯示假錯誤訊息以欺騙使用者。對合法二進位檔案的依賴使得攻擊鏈可以融入常規系統活動，使偵測工作變得複雜。

遊戲中的進階逃避戰術

FatalRAT 旨在識別虛擬機器和沙盒環境，在執行之前執行 17 種不同的檢查。如果任何檢查失敗，惡意軟體就會關閉以避免被分析。此外，它會終止 rundll32.exe 進程的所有實例並收集系統信息，包括有關已安裝的安全解決方案的詳細信息，然後連接到其命令和控制 (C2) 伺服器以獲取進一步的指令。

一種多功能且具威脅性的工具

FatalRAT 具有廣泛的功能，可讓攻擊者對受感染的裝置進行顯著控制。該木馬可以記錄擊鍵、操縱主開機記錄 (MBR)、控制螢幕功能、從 Google Chrome 和 Internet Explorer 中刪除瀏覽器資料、安裝 AnyDesk 和 UltraViewer 等遠端存取工具、執行檔案操作、啟用代理連線以及終止任意進程。

識別 FatalRAT 背後的威脅行為者

雖然具體實施者仍未確定，但多個攻擊行動中的戰術相似性表明這些攻擊有著共同的起源。研究人員有中等信心地認為，這次攻擊是由一名講中文的威脅行為者所為。整個攻擊週期中一致使用中文服務和介面進一步支持了這個理論。

更大圖景：長期網路間諜工具

FatalRAT 的廣泛功能為網路犯罪分子提供了長期滲透的無限機會。由於能夠跨網路傳播、安裝附加工具、操縱系統以及竊取機密數據，因此它成為了持續攻擊者手中的強大武器。這次攻擊與先前的攻擊有重疊，而且反覆使用中文資源，說明這是一場有組織的行為，目的是進行間諜活動和竊取資料。