Asya-Pasifik (APAC) bölgesindeki çeşitli endüstriyel kuruluşlar, Fatalrat adlı bilinen bir kötü amaçlı yazılım sunmak için tasarlanmış kimlik avı saldırılarının bir parçası olarak hedeflenmiştir.
Kaspersky ICS Cert Pazartesi raporunda, “Tehdit, saldırganlar tarafından Meşru Çin Bulut İçerik Dağıtım Ağı (CDN) MYQCLOUD ve YouDAO Cloud Notes Hizmeti kullanan saldırganlar tarafından saldırı altyapılarının bir parçası olarak düzenlendi.” Dedi.
“Saldırganlar, tespitin kaçınmasını sağlamak için sofistike bir çok aşamalı yük dağıtım çerçevesi kullandılar.”
Etkinlik, Tayvan, Malezya, Çin, Japonya, Tayland, Güney Kore, Singapur’da, özellikle üretim, inşaat, bilgi teknolojisi, telekomünikasyon, sağlık, güç ve enerji ve büyük ölçekli lojistik ve ulaşım olmak üzere devlet kurumlarını ve endüstriyel kuruluşları seçti. , Filipinler, Vietnam ve Hong Kong.
E-posta mesajlarında kullanılan cazibe ekleri, kimlik avı kampanyasının Çince konuşan bireylerin peşinden gitmek için tasarlandığını göstermektedir.
Fatalrat kampanyalarının daha önce sahte Google reklamlarını dağıtım vektörü olarak kullandığını belirtmek gerekir. Eylül 2023’te Proofpoint, Fatalrat, GH0ST Rat, Purple Fox ve Valleyrat gibi çeşitli kötü amaçlı yazılım ailelerini yayan başka bir e -posta kimlik avı kampanyasını belgeledi.
Her iki saldırı setinin ilginç bir yönü, öncelikle Çince konuşmacıları ve Japon organizasyonlarını hedeflemeleridir. Bu faaliyetlerin bazıları Silver Fox Apt olarak izlenen bir tehdit oyuncusu ile ilişkilendirildi.
En son saldırı zincirinin başlangıç noktası, başlatıldığında, birinci aşamalı yükleyiciyi başlatan Çince dilli bir dosya adına sahip bir fermuar arşivi içeren bir kimlik avı e-postasıdır. bir DLL dosyası ve bir fatalrat yapılandırıcısı.
Konfigüratör modülü, başka bir notun içeriğini not.[.]com yapılandırma bilgilerine erişmek için. Ayrıca, şüphe uyandırmaktan kaçınmak için bir tuzak dosyası açmak için tasarlanmıştır.
Öte yandan DLL, Fatalrat yükünü bir sunucudan indirmek ve yüklemekten sorumlu ikinci aşamalı bir yükleyicidir (“Myqcloud[.]com “) uygulamayı çalıştıran bir sorunla ilgili sahte bir hata mesajı görüntülerken yapılandırmada belirtilmiştir.
Kampanyanın önemli bir ayırt edici özelliği, çok aşamalı enfeksiyon dizisini ilerletmek ve fatalrat kötü amaçlı yazılımları yüklemek için DLL yan yükleme tekniklerinin kullanılmasını içerir.
Kaspersky, “Tehdit oyuncusu, aktörün olaylar zincirinin normal aktivite gibi görünmesi için meşru ikili dosyaların işlevselliğini kullandığı siyah beyaz bir yöntem kullanıyor.” Dedi. “Saldırganlar ayrıca meşru süreç belleğinde kötü amaçlı yazılımın kalıcılığını gizlemek için bir DLL yan yükleme tekniği kullandılar.”
“Fatalrat, kötü amaçlı yazılımın bir sanal makinede veya sanal alan ortamında yürütüldüğünü gösteren 17 kontrol gerçekleştirir. Çeklerden herhangi biri başarısız olursa, kötü amaçlı yazılım yürütmeyi durdurur.”
Ayrıca Rundll32.exe işleminin tüm örneklerini sonlandırır ve bir komut ve kontrol (C2) sunucusundan daha fazla talimat beklemeden önce sistem ve içine yüklenen çeşitli güvenlik çözümleri hakkında bilgi toplar.
Fatalrat, günlük tuşlarına, bozuk ana çizme kaydı (MBR), ekran açma/kapama, Google Chrome ve Internet Explorer gibi tarayıcılarda kullanıcı verilerini arayın ve silin, AnyDesk ve UltraWiewer gibi ek yazılımlar indirin, performans gösteren özellik dolu bir Truva atıdır. Dosya işlemleri ve bir proxy’yi başlatın/durdurun ve keyfi süreçleri sonlandırın.
Şu anda Fatalrat kullanan saldırıların arkasında kimin olduğu bilinmemektedir, ancak taktik ve enstrümantasyon diğer kampanyalarla örtüşüyor, “hepsinin bir şekilde ilgili farklı saldırıları yansıttığını” gösteriyor. Kaspersky, Çince konuşan bir tehdit oyuncusunun arkasında olduğunu orta güvenle değerlendirdi.
Araştırmacılar, “Fatalrat’ın işlevselliği bir saldırgana bir saldırı geliştirmek için neredeyse sınırsız olasılıklar veriyor: bir ağ üzerine yayılmak, uzaktan yönetim araçlarını kurmak, cihazları manipüle etmek, gizli bilgileri çalmak ve silmek.” Dedi.
Diyerek şöyle devam etti: “Saldırının çeşitli aşamalarında Çince hizmet ve arayüzlerin tutarlı kullanımı ve diğer dolaylı kanıtlar, Çince konuşan bir aktörün dahil olabileceğini gösteriyor.”