FatalRAT 網路釣魚攻擊：亞太地區的持續網路威脅

針對工業領域的網路釣魚活動不斷演變

我們發現了另一波針對亞太地區組織的網路釣魚活動。這些攻擊與FatalRAT的傳播有關，FatalRAT 是一種遠端存取木馬 (RAT)，可對受感染的系統進行未經授權的控制。受影響的行業包括政府機構和製造業、建築業、電信業、醫療保健業、能源業和物流業等行業。

這項活動背後的對手已部署了一套複雜的交付框架，旨在逃避檢測。利用 MyQcloud 和有道雲筆記等廣受認可的中國雲端服務，攻擊者建立了一個將其活動偽裝成合法網路流量的基礎設施。

FatalRAT 攻擊背後的目標

這些網路釣魚活動的主要目的是滲透目標組織並建立持久的遠端存取。這使得攻擊者能夠收集機密數據，操縱系統操作並部署其他惡意工具。 FatalRAT 的使用可以對受感染的機器進行廣泛的控制，包括記錄擊鍵、幹擾系統檔案、監視使用者活動和破壞安全措施。

這次活動的一個顯著特徵是重點關注使用中文交流的個體。網路釣魚電子郵件包含帶有中文檔案名稱的附件，這增加了收件者毫無懷疑地開啟它們的可能性。過去的事件也將 FatalRAT 與詐騙 Google 廣告連結起來，進一步證明了其多樣化的發行策略。

攻擊鏈的技術分解

攻擊通常以攜帶壓縮檔案的電子郵件開始。一旦打開，該文件就會啟動第一階段加載程序，該程序會聯繫有道雲筆記平台來檢索輔助負載。此有效載荷由動態連結庫（DLL）檔案和配置模組組成。後者會下載額外的攻擊組件，同時顯示無害的誘餌檔案以減少懷疑。

該 DLL 作為第二階段載入器，負責在受害者的系統上安裝 FatalRAT。該惡意軟體是從託管在 MyQcloud 上的遠端伺服器檢索的，為了進一步隱藏其存在，攻擊鏈利用了 DLL 側加載技術。這種方法允許 FatalRAT 在合法軟體進程中運行，使得安全系統更難檢測到。此外，還會向用戶顯示欺騙性的錯誤訊息，使其看起來好像應用程式無法正常啟動。

FatalRAT 功能的影響

一旦激活，FatalRAT 會進行廣泛的安全檢查，以確定它是否在受控或受監控的環境中運行，例如沙箱或虛擬機器。如果偵測到任何異常，惡意軟體就會停止執行以避免暴露。

如果惡意軟體認為環境安全，它就會採取一系列行動。 FatalRAT 可以收集系統資訊、終止某些背景進程並搜尋已安裝的安全工具。此外，它還能夠修改瀏覽器資料、遠端執行命令，甚至乾擾核心系統功能，例如係統啟動過程所必需的主引導記錄 (MBR)。

FatalRAT 的另一個令人擔憂的功能是它能夠下載和安裝第三方遠端管理工具，例如 AnyDesk 和 UltraViewer。透過這樣做，攻擊者獲得了另一層控制權，讓他們可以手動在受感染的系統上執行操作。跨網路傳播的可能性進一步增加了大規模破壞的風險。

歸因和可能的威脅行為者

負責這些活動的實體尚未被最終確定。然而，多種跡象表明，可能有一個講中文的威脅組織參與其中。這次攻擊活動與先前與 Silver Fox APT 有關的攻擊有相似之處，Silver Fox APT 是一個高級持續威脅組織，以針對日本講中文的個人和組織而聞名。

重複使用中國雲端服務、中文介面和其他操作模式，進一步證明攻擊者熟悉中國或駐紮在中國的可能性。雖然目前尚不清楚該攻擊是否由單一組織所為，或者是否有多個行為者進行單獨但相關的攻擊，但 FatalRAT 活動的持續出現表明這些行動是經過良好協調的。

結論

可信任雲端服務和多階段交付技術的策略性使用使 FatalRAT 成為一種難以緩解的威脅。在目標產業中運作的組織應保持警惕，防範網路釣魚行為，並實施嚴格的網路安全協議，以防止未經授權的存取。

雖然活動背後的具體動機仍不確定，但 FatalRAT 竊取、刪除和操縱敏感資料的能力凸顯了增強安全意識和主動威脅防禦策略的必要性。鑑於這些網路釣魚攻擊的不斷發展，持續的研究和監控對於限制其對企業和政府實體的影響至關重要。