亞太地區的多個產業組織近期成為釣魚攻擊的目標,這些攻擊目的在於傳播一種名為FatalRAT的惡意軟體。卡巴斯基工業控制系統電腦應急響應小組(Kaspersky ICS CERT)近日發布的報告指出:「攻擊者利用合法的中國CDN服務myqcloud和有道雲筆記服務作為其攻擊基礎設施一部分。」攻擊者採用了複雜的多階段有效載荷傳遞框架,以確保能夠逃避檢測。
受影響地區與產業
此活動鎖定了台灣、馬來西亞、中國、日本、泰國、南韓、新加坡、菲律賓、越南和香港的政府機構和產業組織。受影響的產業主要包括製造業、建築業、資訊科技、電信、醫療保健、電力與能源,以及大型物流和運輸業。電子郵件中使用的誘餌附件顯示,這項釣魚活動主要針對中文用戶。
攻擊手法與技術特點
此次攻擊鏈的起點是包含中文檔名ZIP檔案的釣魚電子郵件。當用戶打開此檔案時,會啟動第一階段的載入程式,該程式向有道雲筆記發送請求,以獲取DLL檔案和FatalRAT配置器。配置器模組從note.youdao[.]com的另一個筆記下載內容,以獲取配置信息,並被設計為打開一個誘餌檔案,以避免引起懷疑。
另一方面,DLL是第二階段載入程式,負責從配置中指定的伺服器(”myqcloud[.]com”)下載並安裝FatalRAT有效載荷,同時顯示假的應用程式運行問題錯誤訊息。卡巴斯基表示,攻擊者使用黑白方法,利用合法二進制檔案的功能使事件鏈看起來像正常活動。攻擊者還使用DLL側載技術來隱藏惡意軟體在合法程序記憶體中的持續性。」
此外,FatalRAT會執行17次檢查,以確定惡意軟體是否在虛擬機或沙盒環境中執行,如果任何檢查失敗,惡意軟體將停止執行。
FatalRAT功能與危害
FatalRAT是一款功能豐富的特洛伊木馬,能夠記錄按鍵操作、破壞主引導記錄(MBR)、控制螢幕開關、搜索並刪除瀏覽器中的用戶數據(如Google Chrome和Internet Explorer)。此外,它還可以下載額外軟體如AnyDesk和UltraViewer、執行檔案操作、啟動或停止代理服務,以及終止任意程序。
卡巴斯基研究人員表示:「FatalRAT的功能為攻擊者提供了幾乎無限的攻擊發展可能性:在網路上傳播、安裝遠程管理工具、操控設備、竊取和刪除機密信息。」
「在攻擊的各個階段一致使用中文服務和界面,以及其他間接證據,表明可能涉及一個說中文的行動者。」卡巴斯基以中等置信度評估,認為中文攻擊者是此次攻擊的幕後黑手。
先前攻擊活動
值得注意的是,FatalRAT活動之前曾利用假冒的Google廣告作為分發載體。2023年9月,Proofpoint記錄了另一次電子郵件釣魚活動,傳播各種惡意軟體家族,如FatalRAT、Gh0st RAT、Purple Fox和ValleyRAT。
這些活動主要針對中文使用者和日本組織。其中一些活動被歸因於一個被稱為Silver Fox APT的威脅行動者。
雖然目前尚不清楚誰是使用FatalRAT攻擊的幕後黑手,但與其他活動的戰術和工具重疊表明,「它們都反映了以某種方式相關的不同系列攻擊」。
資料來源:資安人