Ataki phishingowe FatalRAT: Stałe zagrożenie cybernetyczne w regionie APAC
Table of Contents
Rozwijająca się kampania phishingowa skierowana na sektory przemysłowe
Zidentyfikowano kolejną falę kampanii phishingowych, których celem były organizacje w regionie Azji i Pacyfiku. Ataki te są powiązane z dystrybucją FatalRAT , trojana zdalnego dostępu (RAT), który przyznaje nieautoryzowaną kontrolę nad naruszonymi systemami. Dotknięte sektory obejmują instytucje rządowe i branże, takie jak produkcja, budownictwo, telekomunikacja, opieka zdrowotna, energetyka i logistyka.
Przeciwnicy stojący za tą kampanią wdrożyli wyrafinowaną strukturę dostarczania zaprojektowaną w celu uniknięcia wykrycia. Wykorzystując powszechnie znane chińskie usługi w chmurze, takie jak MyQcloud i Youdao Cloud Notes, atakujący ustanowili infrastrukturę, która maskuje ich działania jako legalny ruch sieciowy.
Cel stojący za atakami FatalRAT
Głównym celem tych kampanii phishingowych jest infiltracja organizacji docelowych i ustanowienie stałego dostępu zdalnego. Umożliwia to atakującym gromadzenie poufnych danych, manipulowanie operacjami systemowymi i wdrażanie dodatkowych złośliwych narzędzi. Użycie FatalRAT umożliwia rozległą kontrolę nad zainfekowanymi maszynami, w tym możliwość rejestrowania naciśnięć klawiszy, ingerowania w pliki systemowe, monitorowania działań użytkowników i zakłócania środków bezpieczeństwa.
Jednym z godnych uwagi aspektów tej kampanii jest jej skupienie na osobach komunikujących się po chińsku. E-maile phishingowe zawierają załączniki z nazwami plików w języku chińskim, co zwiększa prawdopodobieństwo, że odbiorcy otworzą je bez podejrzeń. Wcześniejsze incydenty powiązały również FatalRAT z oszukańczymi reklamami Google, co dodatkowo pokazuje jego zróżnicowane taktyki dystrybucji.
Techniczna awaria łańcucha ataku
Atak zazwyczaj zaczyna się od wiadomości e-mail zawierającej skompresowany plik. Po otwarciu plik inicjuje ładowarkę pierwszego etapu, która dociera do platformy Youdao Cloud Notes w celu pobrania dodatkowego ładunku. Ten ładunek składa się z pliku Dynamic Link Library (DLL) i modułu konfiguracji. Ten ostatni pobiera dodatkowe komponenty ataku, jednocześnie wyświetlając nieszkodliwy plik-przynętę, aby zmniejszyć podejrzenia.
Biblioteka DLL służy jako ładowarka drugiego etapu odpowiedzialna za instalację FatalRAT w systemie ofiary. Złośliwe oprogramowanie jest pobierane ze zdalnego serwera hostowanego w MyQcloud, a aby jeszcze bardziej ukryć jego obecność, łańcuch ataku wykorzystuje techniki bocznego ładowania bibliotek DLL. Ta metoda umożliwia FatalRAT uruchamianie się w ramach legalnych procesów oprogramowania, co utrudnia wykrycie go przez systemy bezpieczeństwa. Ponadto użytkownikowi wyświetlany jest mylący komunikat o błędzie, co sprawia wrażenie, że aplikacja nie uruchomiła się prawidłowo.
Implikacje możliwości FatalRAT
Po aktywacji FatalRAT przeprowadza rozległą kontrolę bezpieczeństwa, aby ustalić, czy działa w kontrolowanym lub monitorowanym środowisku, takim jak piaskownica lub maszyna wirtualna. Jeśli zostaną wykryte jakiekolwiek anomalie, złośliwe oprogramowanie przerywa działanie, aby uniknąć narażenia.
Jeśli malware uzna środowisko za bezpieczne, podejmuje szereg działań. FatalRAT może zbierać informacje systemowe, kończyć niektóre procesy w tle i wyszukiwać zainstalowane narzędzia bezpieczeństwa. Ponadto jest w stanie modyfikować dane przeglądarki, wykonywać polecenia zdalnie, a nawet ingerować w podstawowe funkcje systemu, takie jak Master Boot Record (MBR), który jest niezbędny do procesu uruchamiania systemu.
Inną niepokojącą cechą FatalRAT jest możliwość pobierania i instalowania zewnętrznych narzędzi do zdalnej administracji, takich jak AnyDesk i UltraViewer. Dzięki temu atakujący zyskują kolejną warstwę kontroli, co pozwala im ręcznie wykonywać działania na zainfekowanym systemie. Możliwość rozprzestrzeniania się w sieciach dodatkowo zwiększa ryzyko powszechnych zakłóceń.
Atrybucja i potencjalni aktorzy zagrożenia
Podmiot odpowiedzialny za te kampanie nie został jeszcze ostatecznie zidentyfikowany. Jednak wiele przesłanek sugeruje, że może być w to zamieszana chińskojęzyczna grupa zagrożeń. Istnieją podobieństwa między tą kampanią a poprzednimi atakami powiązanymi z Silver Fox APT, zaawansowaną, uporczywą grupą zagrożeń znaną z atakowania chińskojęzycznych osób i organizacji w Japonii.
Powtarzające się korzystanie z chińskich usług w chmurze, interfejsów w języku chińskim i innych wzorców operacyjnych wzmacnia prawdopodobieństwo, że atakujący znają Chiny lub mają siedzibę w Chinach. Podczas gdy nie jest jasne, czy odpowiedzialna jest jedna grupa, czy też wielu aktorów przeprowadza oddzielne, ale powiązane ataki, ciągłe pojawianie się kampanii FatalRAT wskazuje, że operacje te są dobrze skoordynowane.
Podsumowanie
Strategiczne wykorzystanie zaufanych usług w chmurze i wieloetapowych technik dostarczania sprawia, że FatalRAT jest trudnym do złagodzenia zagrożeniem. Organizacje działające w docelowych sektorach powinny zachować czujność wobec prób phishingu i wdrożyć ścisłe protokoły cyberbezpieczeństwa, aby zapobiec nieautoryzowanemu dostępowi.
Podczas gdy dokładne motywy stojące za tą kampanią pozostają niepewne, zdolność FatalRAT do kradzieży, usuwania i manipulowania poufnymi danymi podkreśla konieczność zwiększonej świadomości bezpieczeństwa i proaktywnych strategii obrony przed zagrożeniami. Biorąc pod uwagę ewolucyjną naturę tych ataków phishingowych, dalsze badania i monitorowanie są niezbędne do ograniczenia ich wpływu na przedsiębiorstwa i podmioty rządowe.
