Επιθέσεις Phishing FatalRAT: Μια επίμονη απειλή στον κυβερνοχώρο στην περιοχή APAC

Μια εξελισσόμενη καμπάνια phishing που στοχεύει σε βιομηχανικούς τομείς

Εντοπίστηκε άλλο ένα κύμα εκστρατειών phishing που στοχεύουν οργανισμούς σε όλη την περιοχή Ασίας-Ειρηνικού. Αυτές οι επιθέσεις συνδέονται με τη διανομή του FatalRAT , ενός trojan απομακρυσμένης πρόσβασης (RAT) που παρέχει μη εξουσιοδοτημένο έλεγχο σε παραβιασμένα συστήματα. Οι τομείς που επηρεάζονται περιλαμβάνουν κυβερνητικούς θεσμούς και βιομηχανίες όπως η μεταποίηση, οι κατασκευές, οι τηλεπικοινωνίες, η υγειονομική περίθαλψη, η ενέργεια και τα logistics.

Οι αντίπαλοι πίσω από αυτήν την καμπάνια έχουν αναπτύξει ένα εξελιγμένο πλαίσιο παράδοσης που έχει σχεδιαστεί για να αποφεύγει τον εντοπισμό. Χρησιμοποιώντας ευρέως αναγνωρισμένες κινεζικές υπηρεσίες cloud, όπως το MyQcloud και το Youdao Cloud Notes, οι εισβολείς έχουν δημιουργήσει μια υποδομή που συγκαλύπτει τις δραστηριότητές τους ως νόμιμη κυκλοφορία δικτύου.

Ο στόχος πίσω από τις επιθέσεις FatalRAT

Ο πρωταρχικός στόχος αυτών των εκστρατειών phishing είναι η διείσδυση σε στοχευμένους οργανισμούς και η δημιουργία μόνιμης απομακρυσμένης πρόσβασης. Αυτό επιτρέπει στους εισβολείς να συλλέγουν εμπιστευτικά δεδομένα, να χειρίζονται λειτουργίες του συστήματος και να αναπτύσσουν πρόσθετα κακόβουλα εργαλεία. Η χρήση του FatalRAT επιτρέπει εκτεταμένο έλεγχο σε μολυσμένα μηχανήματα, συμπεριλαμβανομένης της ικανότητας καταγραφής πληκτρολογήσεων, παρεμβολής στα αρχεία συστήματος, παρακολούθησης δραστηριοτήτων των χρηστών και διακοπής μέτρων ασφαλείας.

Μια αξιοσημείωτη πτυχή αυτής της καμπάνιας είναι η εστίασή της σε άτομα που επικοινωνούν στα κινέζικα. Τα μηνύματα ηλεκτρονικού ψαρέματος περιέχουν συνημμένα με ονόματα αρχείων στην κινεζική γλώσσα, αυξάνοντας την πιθανότητα οι παραλήπτες να τα ανοίξουν χωρίς υποψία. Προηγούμενα περιστατικά έχουν επίσης συνδέσει το FatalRAT με δόλια Google Ads, αποδεικνύοντας περαιτέρω τις διαφορετικές τακτικές διανομής του.

Η τεχνική κατάρρευση της αλυσίδας επίθεσης

Η επίθεση συνήθως ξεκινά με ένα email που φέρει ένα συμπιεσμένο αρχείο. Μόλις ανοίξει, το αρχείο εκκινεί το πρόγραμμα φόρτωσης πρώτου σταδίου, το οποίο φτάνει στην πλατφόρμα Youdao Cloud Notes για να ανακτήσει ένα δευτερεύον ωφέλιμο φορτίο. Αυτό το ωφέλιμο φορτίο αποτελείται από ένα αρχείο Dynamic Link Library (DLL) και μια μονάδα διαμόρφωσης. Το τελευταίο κατεβάζει πρόσθετα στοιχεία επίθεσης ενώ ταυτόχρονα εμφανίζει ένα αβλαβές αρχείο δόλωμα για να μειώσει τις υποψίες.

Το DLL χρησιμεύει ως φορτωτής δεύτερου σταδίου υπεύθυνος για την εγκατάσταση του FatalRAT στο σύστημα του θύματος. Το κακόβουλο λογισμικό ανακτάται από έναν απομακρυσμένο διακομιστή που φιλοξενείται στο MyQcloud και για να αποκρύψει περαιτέρω την παρουσία του, η αλυσίδα επίθεσης χρησιμοποιεί τεχνικές πλευρικής φόρτωσης DLL. Αυτή η μέθοδος επιτρέπει στο FatalRAT να εκτελείται εντός νόμιμων διεργασιών λογισμικού, καθιστώντας δυσκολότερο τον εντοπισμό των συστημάτων ασφαλείας. Επιπλέον, εμφανίζεται ένα παραπλανητικό μήνυμα σφάλματος στον χρήστη, το οποίο φαίνεται ότι η εφαρμογή απέτυχε να ξεκινήσει σωστά.

Οι επιπτώσεις των δυνατοτήτων του FatalRAT

Μόλις ενεργοποιηθεί, το FatalRAT διενεργεί έναν εκτεταμένο έλεγχο ασφαλείας για να προσδιορίσει εάν εκτελείται σε ελεγχόμενο ή παρακολουθούμενο περιβάλλον, όπως ένα sandbox ή εικονική μηχανή. Εάν εντοπιστούν ανωμαλίες, το κακόβουλο λογισμικό διακόπτει την εκτέλεση για να αποφευχθεί η έκθεση.

Εάν το κακόβουλο λογισμικό κρίνει το περιβάλλον ασφαλές, προχωρά σε μια σειρά ενεργειών. Το FatalRAT μπορεί να συλλέξει πληροφορίες συστήματος, να τερματίσει ορισμένες διαδικασίες παρασκηνίου και να αναζητήσει εγκατεστημένα εργαλεία ασφαλείας. Επιπλέον, είναι σε θέση να τροποποιεί τα δεδομένα του προγράμματος περιήγησης, να εκτελεί εντολές από απόσταση, ακόμη και να παρεμβαίνει σε βασικές λειτουργίες του συστήματος, όπως το Master Boot Record (MBR), το οποίο είναι απαραίτητο για τη διαδικασία εκκίνησης ενός συστήματος.

Ένα άλλο ενδιαφέρον χαρακτηριστικό του FatalRAT είναι η ικανότητά του να κατεβάζει και να εγκαθιστά εργαλεία απομακρυσμένης διαχείρισης τρίτων όπως το AnyDesk και το UltraViewer. Με αυτόν τον τρόπο, οι εισβολείς αποκτούν ένα άλλο επίπεδο ελέγχου, επιτρέποντάς τους να εκτελούν ενέργειες στο παραβιασμένο σύστημα με μη αυτόματο τρόπο. Η δυνατότητα εξάπλωσης στα δίκτυα αυξάνει περαιτέρω τον κίνδυνο εκτεταμένης διακοπής.

Συντελεστές απόδοσης και πιθανής απειλής

Η οντότητα που είναι υπεύθυνη για αυτές τις καμπάνιες δεν έχει ακόμη προσδιοριστεί οριστικά. Ωστόσο, πολλές ενδείξεις υποδηλώνουν ότι μπορεί να εμπλέκεται μια κινεζόφωνη ομάδα απειλών. Υπάρχουν ομοιότητες μεταξύ αυτής της εκστρατείας και των προηγούμενων επιθέσεων που συνδέονται με το Silver Fox APT, μια προηγμένη ομάδα επίμονων απειλών που είναι γνωστή για τη στόχευση ατόμων και οργανισμών που μιλούν κινεζικά στην Ιαπωνία.

Η επαναλαμβανόμενη χρήση κινεζικών υπηρεσιών cloud, διεπαφών κινεζικής γλώσσας και άλλων λειτουργικών μοτίβων ενισχύουν την πιθανότητα οι εισβολείς να είναι εξοικειωμένοι ή να έχουν έδρα στην Κίνα. Ενώ παραμένει ασαφές εάν μια μεμονωμένη ομάδα είναι υπεύθυνη ή εάν πολλοί παράγοντες πραγματοποιούν ξεχωριστές αλλά σχετικές επιθέσεις, η συνεχιζόμενη εμφάνιση εκστρατειών FatalRAT δείχνει ότι αυτές οι επιχειρήσεις είναι καλά συντονισμένες.

Κατώτατη γραμμή

Η στρατηγική χρήση αξιόπιστων υπηρεσιών cloud και τεχνικών παράδοσης πολλαπλών σταδίων καθιστά το FatalRAT μια προκλητική απειλή προς άμβλυνση. Οι οργανισμοί που δραστηριοποιούνται στους στοχευμένους τομείς θα πρέπει να παραμείνουν σε επαγρύπνηση έναντι των απόπειρων phishing και να εφαρμόζουν αυστηρά πρωτόκολλα κυβερνοασφάλειας για την πρόληψη της μη εξουσιοδοτημένης πρόσβασης.

Ενώ τα ακριβή κίνητρα πίσω από την εκστρατεία παραμένουν αβέβαια, η ικανότητα του FatalRAT να κλέβει, να διαγράφει και να χειρίζεται ευαίσθητα δεδομένα υπογραμμίζει την ανάγκη για ενισχυμένη ευαισθητοποίηση σχετικά με την ασφάλεια και στρατηγικές προληπτικής άμυνας απειλών. Δεδομένης της εξελισσόμενης φύσης αυτών των επιθέσεων phishing, η συνεχής έρευνα και παρακολούθηση είναι ουσιαστικής σημασίας για τον περιορισμό των επιπτώσεών τους τόσο στις επιχειρήσεις όσο και στις κυβερνητικές οντότητες.