Attaques de phishing FatalRAT : une cybermenace persistante dans la région APAC
Table of Contents
Une campagne de phishing en constante évolution ciblant les secteurs industriels
Une nouvelle vague de campagnes de phishing a été identifiée ciblant des organisations dans la région Asie-Pacifique. Ces attaques sont liées à la diffusion de FatalRAT , un cheval de Troie d'accès à distance (RAT) qui accorde un contrôle non autorisé sur les systèmes compromis. Les secteurs concernés incluent les institutions gouvernementales et les industries telles que l'industrie manufacturière, la construction, les télécommunications, la santé, l'énergie et la logistique.
Les adversaires à l'origine de cette campagne ont déployé un système de diffusion sophistiqué conçu pour échapper à la détection. En utilisant des services cloud chinois largement reconnus tels que MyQcloud et Youdao Cloud Notes, les attaquants ont établi une infrastructure qui dissimule leurs activités en trafic réseau légitime.
L'objectif des attaques FatalRAT
L'objectif principal de ces campagnes de phishing est d'infiltrer les organisations ciblées et d'établir un accès à distance permanent. Cela permet aux attaquants de collecter des données confidentielles, de manipuler les opérations du système et de déployer des outils malveillants supplémentaires. L'utilisation de FatalRAT permet un contrôle étendu des machines infectées, notamment la possibilité d'enregistrer les frappes au clavier, d'interférer avec les fichiers système, de surveiller les activités des utilisateurs et de perturber les mesures de sécurité.
L'un des aspects notables de cette campagne est qu'elle cible les individus qui communiquent en chinois. Les e-mails de phishing contiennent des pièces jointes avec des noms de fichiers en chinois, ce qui augmente la probabilité que les destinataires les ouvrent sans méfiance. Des incidents antérieurs ont également lié FatalRAT à des annonces Google frauduleuses, ce qui démontre encore davantage la diversité de ses tactiques de distribution.
La décomposition technique de la chaîne d'attaque
L'attaque commence généralement par un e-mail contenant un fichier compressé. Une fois ouvert, le fichier lance le chargeur de première étape, qui contacte la plateforme Youdao Cloud Notes pour récupérer une charge utile secondaire. Cette charge utile se compose d'un fichier DLL (Dynamic Link Library) et d'un module de configuration. Ce dernier télécharge des composants d'attaque supplémentaires tout en affichant simultanément un fichier leurre inoffensif pour réduire les soupçons.
La DLL sert de chargeur de deuxième étape chargé d'installer FatalRAT sur le système de la victime. Le malware est récupéré à partir d'un serveur distant hébergé sur MyQcloud et, pour dissimuler davantage sa présence, la chaîne d'attaque utilise des techniques de chargement latéral de DLL. Cette méthode permet à FatalRAT de s'exécuter dans des processus logiciels légitimes, ce qui rend sa détection plus difficile pour les systèmes de sécurité. De plus, un message d'erreur trompeur est affiché à l'utilisateur, ce qui donne l'impression que l'application n'a pas pu se lancer correctement.
Les implications des capacités de FatalRAT
Une fois activé, FatalRAT effectue un contrôle de sécurité approfondi pour déterminer s'il s'exécute dans un environnement contrôlé ou surveillé, tel qu'un sandbox ou une machine virtuelle. Si des anomalies sont détectées, le malware cesse son exécution pour éviter toute exposition.
Si le malware considère que l'environnement est sécurisé, il procède à une série d'actions. FatalRAT peut collecter des informations sur le système, mettre fin à certains processus en arrière-plan et rechercher les outils de sécurité installés. De plus, il est capable de modifier les données du navigateur, d'exécuter des commandes à distance et même d'interférer avec les fonctions principales du système, telles que le Master Boot Record (MBR), qui est essentiel au processus de démarrage d'un système.
Une autre caractéristique inquiétante de FatalRAT est sa capacité à télécharger et installer des outils d’administration à distance tiers comme AnyDesk et UltraViewer. Ce faisant, les attaquants obtiennent un niveau de contrôle supplémentaire, leur permettant d’exécuter manuellement des actions sur le système compromis. Le potentiel de propagation sur les réseaux augmente encore le risque de perturbation généralisée.
Attribution et acteurs potentiels de la menace
L'entité responsable de ces campagnes n'a pas encore été définitivement identifiée. Cependant, plusieurs indices suggèrent qu'un groupe de menace sinophone pourrait être impliqué. Il existe des similitudes entre cette campagne et les attaques précédentes liées à Silver Fox APT, un groupe de menace persistante avancée connu pour cibler les individus et organisations sinophones au Japon.
L’utilisation répétée de services cloud chinois, d’interfaces en chinois et d’autres modèles opérationnels renforce la probabilité que les attaquants connaissent ou soient basés en Chine. Bien qu’il ne soit pas certain qu’un seul groupe soit responsable ou que plusieurs acteurs mènent des attaques distinctes mais liées, l’émergence continue de campagnes FatalRAT indique que ces opérations sont bien coordonnées.
Conclusion
L'utilisation stratégique de services cloud fiables et de techniques de diffusion en plusieurs étapes fait de FatalRAT une menace difficile à atténuer. Les organisations opérant dans les secteurs ciblés doivent rester vigilantes face aux tentatives de phishing et mettre en œuvre des protocoles de cybersécurité stricts pour empêcher tout accès non autorisé.
Bien que les motivations exactes de cette campagne restent incertaines, la capacité de FatalRAT à voler, supprimer et manipuler des données sensibles souligne la nécessité d'une sensibilisation accrue à la sécurité et de stratégies proactives de défense contre les menaces. Compte tenu de la nature évolutive de ces attaques de phishing, des recherches et une surveillance continues sont essentielles pour limiter leur impact sur les entreprises et les entités gouvernementales.
