FatalRAT adathalász támadások: állandó kiberfenyegetés az APAC-régióban
Table of Contents
Egy fejlődő adathalász kampány, amely az ipari ágazatokat célozza meg
Az adathalász kampányok másik hullámát azonosították, amelyek az ázsiai-csendes-óceáni térség szervezeteit célozzák. Ezek a támadások a FatalRAT terjesztéséhez kapcsolódnak, egy távoli hozzáférésű trójai (RAT), amely jogosulatlan irányítást biztosít a feltört rendszerek felett. Az érintett ágazatok közé tartoznak a kormányzati intézmények és olyan iparágak, mint a feldolgozóipar, az építőipar, a távközlés, az egészségügy, az energia és a logisztika.
A kampány mögött álló ellenfelek egy kifinomult szállítási keretrendszert alkalmaztak, amelyet az észlelés elkerülésére terveztek. A széles körben elismert kínai felhőszolgáltatások, például a MyQcloud és a Youdao Cloud Notes felhasználásával a támadók olyan infrastruktúrát hoztak létre, amely tevékenységüket legitim hálózati forgalomnak álcázza.
A cél a FatalRAT támadásai mögött
Ezeknek az adathalász kampányoknak az elsődleges célja, hogy beszivárogjanak a megcélzott szervezetekbe, és állandó távoli hozzáférést hozzanak létre. Ez lehetővé teszi a támadók számára, hogy bizalmas adatokat gyűjtsenek, manipulálják a rendszerműveleteket, és további rosszindulatú eszközöket telepítsenek. A FatalRAT használata lehetővé teszi a fertőzött gépek széles körű ellenőrzését, beleértve a billentyűleütések naplózását, a rendszerfájlok zavarását, a felhasználói tevékenységek figyelését és a biztonsági intézkedések megzavarását.
Ennek a kampánynak az egyik figyelemre méltó aspektusa, hogy a kínai nyelven kommunikáló személyekre összpontosít. Az adathalász e-mailek kínai nyelvű fájlneveket tartalmazó mellékleteket tartalmaznak, ami növeli annak valószínűségét, hogy a címzettek gyanú nélkül megnyitják őket. A múltbeli incidensek a FatalRAT-ot a csaló Google Ads-szal is összekapcsolták, tovább demonstrálva változatos terjesztési taktikáit.
A támadási lánc technikai lebontása
A támadás általában egy tömörített fájlt tartalmazó e-maillel kezdődik. Megnyitás után a fájl elindítja az első lépcsős betöltőt, amely eléri a Youdao Cloud Notes platformot, hogy lekérjen egy másodlagos hasznos adatot. Ez a hasznos adat egy Dynamic Link Library (DLL) fájlból és egy konfigurációs modulból áll. Ez utóbbi további támadási komponenseket tölt le, miközben egy ártalmatlan csalifájlt jelenít meg, hogy csökkentse a gyanút.
A DLL második lépcsős betöltőként szolgál, amely a FatalRAT telepítéséért felelős az áldozat rendszerére. A rosszindulatú programot a MyQcloudon üzemeltetett távoli szerverről kérik le, és jelenlétének további elrejtése érdekében a támadási lánc DLL oldalbetöltési technikákat alkalmaz. Ez a módszer lehetővé teszi, hogy a FatalRAT törvényes szoftverfolyamatokon belül fusson, ami megnehezíti a biztonsági rendszerek észlelését. Ezenkívül egy megtévesztő hibaüzenet jelenik meg a felhasználó számára, amely úgy tűnik, mintha az alkalmazás nem indult el megfelelően.
A FatalRAT képességeinek következményei
Az aktiválás után a FatalRAT kiterjedt biztonsági ellenőrzést hajt végre annak megállapítására, hogy ellenőrzött vagy felügyelt környezetben, például homokozóban vagy virtuális gépben fut-e. Ha bármilyen rendellenességet észlel, a kártevő leállítja a végrehajtást, hogy elkerülje a kitettséget.
Ha a rosszindulatú program biztonságosnak ítéli a környezetet, számos műveletet hajt végre. A FatalRAT rendszerinformációkat gyűjthet, bizonyos háttérfolyamatokat leállíthat, és megkeresheti a telepített biztonsági eszközöket. Ezenkívül képes módosítani a böngésző adatait, távolról végrehajtani a parancsokat, és még az alapvető rendszerfunkciókat is megzavarhatja, mint például a Master Boot Record (MBR), amely elengedhetetlen a rendszer indítási folyamatához.
A FatalRAT másik fontos jellemzője, hogy képes letölteni és telepíteni harmadik féltől származó távoli adminisztrációs eszközöket, mint például az AnyDesk és az UltraViewer. Ezzel a támadók egy újabb irányítási szintre tesznek szert, lehetővé téve számukra, hogy manuálisan hajtsanak végre műveleteket a feltört rendszeren. A hálózatok közötti terjedés lehetősége tovább növeli a széles körű zavarok kockázatát.
Attribúció és lehetséges fenyegető szereplők
A kampányokért felelős entitást még nem határozták meg véglegesen. Számos jel azonban arra utal, hogy kínaiul beszélő fenyegető csoport is érintett lehet. Hasonlóság mutatkozik a kampány és a korábbi támadások között, amelyek a Silver Fox APT-hez kapcsolódnak.
A kínai felhőszolgáltatások, kínai nyelvű felületek és egyéb működési minták ismételt használata megerősíti annak valószínűségét, hogy a támadók ismerik Kínát, vagy ott tartózkodnak. Bár továbbra sem világos, hogy egyetlen csoport felelős-e, vagy több szereplő hajt végre különálló, de összefüggő támadásokat, a FatalRAT kampányok folyamatos megjelenése azt jelzi, hogy ezek a műveletek jól koordináltak.
Bottom Line
A megbízható felhőszolgáltatások és a többlépcsős szállítási technikák stratégiai használata a FatalRAT-ot kihívást jelentő fenyegetést jelent, amelyet mérsékelni kell. A megcélzott szektorokban működő szervezeteknek továbbra is ébernek kell lenniük az adathalász kísérletekkel szemben, és szigorú kiberbiztonsági protokollokat kell alkalmazniuk az illetéktelen hozzáférés megakadályozása érdekében.
Noha a kampány mögött meghúzódó pontos motivációk továbbra is bizonytalanok, a FatalRAT azon képessége, hogy ellopja, törölje és manipulálja az érzékeny adatokat, aláhúzza a fokozott biztonsági tudatosság és proaktív fenyegetésvédelmi stratégiák szükségességét. Tekintettel ezeknek az adathalász támadásoknak a változó természetére, a folyamatos kutatás és nyomon követés elengedhetetlen ahhoz, hogy korlátozzuk a vállalkozásokra és a kormányzati szervekre gyakorolt hatásukat.
