FatalRAT フィッシング攻撃: アジア太平洋地域における継続的なサイバー脅威

産業分野を狙ったフィッシング攻撃の進化

アジア太平洋地域の組織を標的とした新たなフィッシング攻撃の波が確認されました。これらの攻撃は、侵入したシステムを不正に制御するリモート アクセス トロイの木馬 (RAT) であるFatalRATの配布に関連しています。影響を受けるセクターには、政府機関や、製造、建設、通信、医療、エネルギー、物流などの業界が含まれます。

この攻撃の背後にいる攻撃者は、検出を回避するために設計された高度な配信フレームワークを展開しています。攻撃者は、MyQcloud や Youdao Cloud Notes などの広く認知されている中国のクラウド サービスを利用して、自分たちの活動を正当なネットワーク トラフィックとして偽装するインフラストラクチャを構築しました。

FatalRAT 攻撃の目的

これらのフィッシング キャンペーンの主な目的は、標的の組織に侵入し、永続的なリモート アクセスを確立することです。これにより、攻撃者は機密データを収集し、システム操作を操作し、追加の悪意のあるツールを展開することができます。FatalRAT を使用すると、キーストロークの記録、システム ファイルへの干渉、ユーザー アクティビティの監視、セキュリティ対策の妨害など、感染したマシンを広範囲に制御できます。

このキャンペーンの注目すべき点の 1 つは、中国語でコミュニケーションをとる個人に的を絞っていることです。フィッシング メールには中国語のファイル名の添付ファイルが含まれているため、受信者が疑うことなく開く可能性が高くなります。過去の事件では、FatalRAT が不正な Google 広告と関連していることも判明しており、その配布戦術が多様であることがさらに明らかになっています。

攻撃チェーンの技術的な内訳

攻撃は通常、圧縮ファイルを含んだ電子メールから始まります。ファイルを開くと、第 1 段階のローダーが起動し、Youdao Cloud Notes プラットフォームにアクセスして第 2 のペイロードを取得します。このペイロードは、ダイナミック リンク ライブラリ (DLL) ファイルと構成モジュールで構成されています。後者は追加の攻撃コンポーネントをダウンロードすると同時に、疑いを少なくするために無害なデコイ ファイルを表示します。

DLL は、被害者のシステムに FatalRAT をインストールする第 2 段階のローダーとして機能します。マルウェアは MyQcloud でホストされているリモート サーバーから取得され、その存在をさらに隠蔽するために、攻撃チェーンは DLL サイドローディング技術を使用します。この方法により、FatalRAT は正当なソフトウェア プロセス内で実行できるため、セキュリティ システムによる検出が困難になります。さらに、ユーザーには偽のエラー メッセージが表示され、アプリケーションが正常に起動しなかったかのように見せかけます。

FatalRAT の機能の意味

FatalRAT は起動すると、サンドボックスや仮想マシンなどの制御または監視された環境で実行されているかどうかを判断するために、広範なセキュリティ チェックを実行します。異常が検出されると、マルウェアは露出を避けるために実行を停止します。

マルウェアは環境が安全であると判断すると、さまざまなアクションを実行します。FatalRAT はシステム情報を収集し、特定のバックグラウンド プロセスを終了し、インストールされているセキュリティ ツールを検索します。さらに、ブラウザー データを変更したり、リモートでコマンドを実行したり、システムの起動プロセスに不可欠なマスター ブート レコード (MBR) などのコア システム機能に干渉したりすることもできます。

FatalRAT のもう 1 つの懸念される特徴は、AnyDesk や UltraViewer などのサードパーティのリモート管理ツールをダウンロードしてインストールできることです。これにより、攻撃者は別の制御レイヤーを獲得し、侵害されたシステムで手動でアクションを実行できるようになります。ネットワーク全体に広がる可能性があるため、広範囲にわたる混乱のリスクがさらに高まります。

攻撃の要因と脅威の主体

これらの攻撃の責任者はまだ特定されていません。しかし、複数の兆候から、中国語を話す脅威グループが関与している可能性が示唆されています。この攻撃と、日本の中国語を話す個人や組織を標的にすることで知られる、高度で持続的な脅威グループである Silver Fox APT に関連する過去の攻撃との間には類似点があります。

中国のクラウド サービス、中国語のインターフェース、その他の運用パターンが繰り返し使用されていることから、攻撃者が中国に精通しているか、中国を拠点としている可能性が高まっています。単一のグループが攻撃を行っているのか、複数の攻撃者が別々に関連のある攻撃を行っているのかは不明ですが、FatalRAT キャンペーンが継続的に発生していることから、これらの活動はよく調整されていることがわかります。

結論

信頼できるクラウド サービスと多段階の配信技術を戦略的に使用することで、FatalRAT は軽減するのが難しい脅威となっています。標的の分野で活動する組織は、フィッシング攻撃に対して警戒を怠らず、不正アクセスを防ぐために厳格なサイバーセキュリティ プロトコルを実装する必要があります。

この攻撃の正確な動機は不明ですが、FatalRAT が機密データを盗み、削除し、操作する能力があることから、セキュリティ意識の強化と積極的な脅威防御戦略の必要性が強調されます。これらのフィッシング攻撃は進化し続けるため、企業や政府機関への影響を抑えるには、継続的な調査と監視が不可欠です。