FatalRAT sukčiavimo atakos: nuolatinė kibernetinė grėsmė APAC regione
Table of Contents
Besivystanti sukčiavimo kampanija, skirta pramonės sektoriams
Nustatyta dar viena sukčiavimo kampanijų banga, nukreipta į organizacijas visame Azijos ir Ramiojo vandenyno regione. Šios atakos yra susijusios su FatalRAT , nuotolinės prieigos Trojos arklys (RAT), kuris suteikia neteisėtai pažeistų sistemų kontrolę, platinimu. Paveikti sektoriai apima vyriausybines institucijas ir pramonės šakas, tokias kaip gamyba, statyba, telekomunikacijos, sveikatos priežiūra, energetika ir logistika.
Šios kampanijos priešininkai įdiegė sudėtingą pristatymo sistemą, skirtą išvengti aptikimo. Naudodamiesi plačiai pripažintomis Kinijos debesijos paslaugomis, tokiomis kaip „MyQcloud“ ir „Youdao Cloud Notes“, užpuolikai sukūrė infrastruktūrą, kuri užmaskuoja savo veiklą kaip teisėtą tinklo srautą.
FatalRAT atakų tikslas
Pagrindinis šių sukčiavimo kampanijų tikslas yra įsiskverbti į tikslines organizacijas ir sukurti nuolatinę nuotolinę prieigą. Tai leidžia užpuolikams rinkti konfidencialius duomenis, manipuliuoti sistemos operacijomis ir įdiegti papildomus kenkėjiškus įrankius. FatalRAT naudojimas leidžia plačiai valdyti užkrėstus įrenginius, įskaitant galimybę registruoti klavišų paspaudimus, trukdyti sistemos failams, stebėti vartotojų veiklą ir trikdyti saugos priemones.
Vienas iš svarbiausių šios kampanijos aspektų yra dėmesys asmenims, kurie bendrauja kinų kalba. Sukčiavimo el. laiškuose yra priedų su failų pavadinimais kinų kalba, todėl padidėja tikimybė, kad gavėjai juos atidarys neįtardami. Praeities incidentai taip pat susiejo „FatalRAT“ su apgaulinga „Google Ads“, dar labiau įrodydami įvairias platinimo taktikas.
Techninis puolimo grandinės suskirstymas
Ataka paprastai prasideda el. laišku, kuriame yra suspaustas failas. Atidarius failą, jis inicijuoja pirmosios pakopos įkroviklį, kuris pasiekia „Youdao Cloud Notes“ platformą, kad gautų antrinį naudingąjį krovinį. Šią naudingąją apkrovą sudaro dinaminės nuorodos bibliotekos (DLL) failas ir konfigūracijos modulis. Pastarasis atsisiunčia papildomus atakos komponentus ir tuo pat metu rodo nekenksmingą apgaulės failą, kad sumažintų įtarimą.
DLL yra antrosios pakopos įkroviklis, atsakingas už FatalRAT įdiegimą aukos sistemoje. Kenkėjiška programa paimama iš nuotolinio serverio, esančio MyQcloud, ir, kad toliau nuslėptų jos buvimą, atakų grandinė naudoja DLL šoninio įkėlimo metodus. Šis metodas leidžia „FatalRAT“ veikti teisėtuose programinės įrangos procesuose, todėl apsaugos sistemoms jį sunkiau aptikti. Be to, vartotojui rodomas apgaulingas klaidos pranešimas, todėl atrodo, kad programa nepavyko tinkamai paleisti.
„FatalRAT“ galimybių pasekmės
Suaktyvinus FatalRAT atlieka išsamų saugumo patikrinimą, kad nustatytų, ar jis veikia kontroliuojamoje ar stebimoje aplinkoje, pvz., smėlio dėžėje ar virtualioje mašinoje. Jei aptinkama kokių nors nukrypimų, kenkėjiška programa nustoja veikti, kad būtų išvengta poveikio.
Jei kenkėjiška programa mano, kad aplinka yra saugi, ji atlieka daugybę veiksmų. FatalRAT gali rinkti sistemos informaciją, nutraukti tam tikrus foninius procesus ir ieškoti įdiegtų saugos įrankių. Be to, jis gali keisti naršyklės duomenis, vykdyti komandas nuotoliniu būdu ir net trukdyti pagrindinėms sistemos funkcijoms, tokioms kaip pagrindinis įkrovos įrašas (MBR), kuris yra būtinas sistemos paleidimo procesui.
Kita svarbi FatalRAT savybė yra galimybė atsisiųsti ir įdiegti trečiųjų šalių nuotolinio administravimo įrankius, tokius kaip AnyDesk ir UltraViewer. Tai darydami, užpuolikai įgyja kitą valdymo lygmenį, leidžiantį rankiniu būdu atlikti veiksmus pažeistoje sistemoje. Galimybė plisti tinkluose dar labiau padidina plačiai paplitusių sutrikimų riziką.
Priskyrimas ir galimi grėsmės veikėjai
Už šias kampanijas atsakingas subjektas dar turi būti galutinai nustatytas. Tačiau daug požymių rodo, kad gali būti įtraukta kiniškai kalbanti grėsmės grupė. Yra panašumų tarp šios kampanijos ir ankstesnių išpuolių, susijusių su „Silver Fox APT“ – pažangia nuolatinių grėsmių grupe, žinoma, kad Japonijoje taikosi į kiniškai kalbančius asmenis ir organizacijas.
Pakartotinis Kinijos debesijos paslaugų, sąsajų kinų kalba ir kitų veikimo modelių naudojimas padidina tikimybę, kad užpuolikai yra susipažinę su Kinija arba yra joje. Nors lieka neaišku, ar atsakinga viena grupė, ar keli veikėjai vykdo atskiras, bet susijusias atakas, besitęsiančios FatalRAT kampanijos rodo, kad šios operacijos yra gerai koordinuojamos.
Apatinė eilutė
Strategiškai naudojant patikimas debesijos paslaugas ir kelių etapų pristatymo būdus, FatalRAT yra sudėtinga grėsmė, kurią reikia sumažinti. Tiksliniuose sektoriuose veikiančios organizacijos turėtų išlikti budrios nuo sukčiavimo bandymų ir įgyvendinti griežtus kibernetinio saugumo protokolus, kad išvengtų neteisėtos prieigos.
Nors tikslūs kampanijos motyvai tebėra neaiškūs, FatalRAT gebėjimas pavogti, ištrinti ir manipuliuoti neskelbtinais duomenimis pabrėžia būtinybę didinti saugumo supratimą ir imtis iniciatyvių gynybos nuo grėsmių strategijų. Atsižvelgiant į besikeičiantį šių sukčiavimo atakų pobūdį, nuolatiniai tyrimai ir stebėjimas yra būtini siekiant apriboti jų poveikį įmonėms ir vyriausybės subjektams.
