Attacchi di phishing FatalRAT: una minaccia informatica persistente nella regione APAC
Table of Contents
Una campagna di phishing in evoluzione che prende di mira i settori industriali
Un'altra ondata di campagne di phishing è stata identificata come rivolta a organizzazioni nella regione Asia-Pacifico. Questi attacchi sono collegati alla distribuzione di FatalRAT , un trojan di accesso remoto (RAT) che garantisce il controllo non autorizzato sui sistemi compromessi. I settori interessati includono istituzioni governative e settori quali produzione, edilizia, telecomunicazioni, sanità, energia e logistica.
Gli avversari dietro questa campagna hanno implementato un sofisticato framework di distribuzione progettato per eludere il rilevamento. Utilizzando servizi cloud cinesi ampiamente riconosciuti come MyQcloud e Youdao Cloud Notes, gli aggressori hanno creato un'infrastruttura che maschera le loro attività come traffico di rete legittimo.
L'obiettivo dietro gli attacchi FatalRAT
L'obiettivo principale di queste campagne di phishing è infiltrarsi nelle organizzazioni prese di mira e stabilire un accesso remoto persistente. Ciò consente agli aggressori di raccogliere dati riservati, manipolare le operazioni di sistema e distribuire ulteriori strumenti dannosi. L'uso di FatalRAT consente un controllo esteso sulle macchine infette, inclusa la possibilità di registrare le sequenze di tasti, interferire con i file di sistema, monitorare le attività degli utenti e interrompere le misure di sicurezza.
Un aspetto degno di nota di questa campagna è la sua attenzione rivolta a individui che comunicano in cinese. Le email di phishing contengono allegati con nomi di file in lingua cinese, aumentando la probabilità che i destinatari li aprano senza sospetti. Incidenti passati hanno anche collegato FatalRAT a Google Ads fraudolenti, dimostrando ulteriormente le sue diverse tattiche di distribuzione.
La ripartizione tecnica della catena di attacco
L'attacco inizia in genere con un'e-mail contenente un file compresso. Una volta aperto, il file avvia il loader di prima fase, che si rivolge alla piattaforma Youdao Cloud Notes per recuperare un payload secondario. Questo payload è costituito da un file Dynamic Link Library (DLL) e da un modulo di configurazione. Quest'ultimo scarica componenti di attacco aggiuntivi e contemporaneamente visualizza un file esca innocuo per ridurre i sospetti.
La DLL funge da caricatore di seconda fase responsabile dell'installazione di FatalRAT sul sistema della vittima. Il malware viene recuperato da un server remoto ospitato su MyQcloud e, per nascondere ulteriormente la sua presenza, la catena di attacco utilizza tecniche di caricamento laterale della DLL. Questo metodo consente a FatalRAT di essere eseguito all'interno di processi software legittimi, rendendo più difficile il rilevamento da parte dei sistemi di sicurezza. Inoltre, all'utente viene visualizzato un messaggio di errore ingannevole, che fa sembrare che l'applicazione non sia stata avviata correttamente.
Le implicazioni delle capacità di FatalRAT
Una volta attivato, FatalRAT esegue un controllo di sicurezza approfondito per determinare se è in esecuzione in un ambiente controllato o monitorato, come un sandbox o una macchina virtuale. Se vengono rilevate anomalie, il malware cessa l'esecuzione per evitare l'esposizione.
Se il malware ritiene l'ambiente sicuro, procede con una serie di azioni. FatalRAT può raccogliere informazioni di sistema, terminare determinati processi in background e cercare gli strumenti di sicurezza installati. Inoltre, è in grado di modificare i dati del browser, eseguire comandi in remoto e persino interferire con le funzioni di sistema principali, come il Master Boot Record (MBR), che è essenziale per il processo di avvio di un sistema.
Un'altra caratteristica preoccupante di FatalRAT è la sua capacità di scaricare e installare strumenti di amministrazione remota di terze parti come AnyDesk e UltraViewer. In questo modo, gli aggressori ottengono un ulteriore livello di controllo, consentendo loro di eseguire manualmente azioni sul sistema compromesso. Il potenziale di diffusione attraverso le reti aumenta ulteriormente il rischio di interruzione diffusa.
Attribuzione e possibili attori della minaccia
L'entità responsabile di queste campagne deve ancora essere identificata in modo definitivo. Tuttavia, molteplici indizi suggeriscono che potrebbe essere coinvolto un gruppo di minacce di lingua cinese. Ci sono somiglianze tra questa campagna e precedenti attacchi collegati a Silver Fox APT, un gruppo di minacce persistenti avanzate noto per aver preso di mira individui e organizzazioni di lingua cinese in Giappone.
L'uso ripetuto di servizi cloud cinesi, interfacce in lingua cinese e altri modelli operativi rafforzano la probabilità che gli aggressori abbiano familiarità con la Cina o vi siano basati. Mentre non è ancora chiaro se un singolo gruppo sia responsabile o se più attori stiano portando avanti attacchi separati ma correlati, la continua comparsa di campagne FatalRAT indica che queste operazioni sono ben coordinate.
Conclusione
L'uso strategico di servizi cloud affidabili e tecniche di distribuzione multi-fase rende FatalRAT una minaccia difficile da mitigare. Le organizzazioni che operano nei settori presi di mira dovrebbero rimanere vigili contro i tentativi di phishing e implementare rigidi protocolli di sicurezza informatica per impedire l'accesso non autorizzato.
Sebbene le motivazioni esatte alla base della campagna rimangano incerte, la capacità di FatalRAT di rubare, eliminare e manipolare dati sensibili sottolinea la necessità di una maggiore consapevolezza della sicurezza e di strategie di difesa proattive dalle minacce. Data la natura in evoluzione di questi attacchi di phishing, la ricerca e il monitoraggio continui sono essenziali per limitare il loro impatto su aziende ed enti governativi.
