Kaspersky ICS CERT raporuna göre, Fatalrat Uzaktan Erişim Truva Eden Truva (RAT) ‘dan yararlanan sofistike bir siber başlık kampanyası, Asya-Pasifik (APAC) bölgesindeki endüstriyel kuruluşları hedefliyor.
Çince konuşan tehdit aktörleri olduğundan şüphelenilen saldırganlar, algılama yaparken yükleri teslim etmek için Youdao Cloud Notes ve Tencent Cloud (Myqcloud) gibi meşru Çin bulut hizmetlerini kullanan çok aşamalı bir enfeksiyon zinciri kullanıyor.
Kampanya öncelikle Tayvan, Çin, Japonya, Tayland ve Singapur’daki üretim, enerji, BT ve lojistik sektörlerini hedefliyor.
Saldırganlar, vergi belgeleri veya faturalar olarak maskelenen WeChat/Telegram aracılığıyla kimlik avı e -postalarını ve mesajlarını dağıtır (“” Sübvansiyonlarla ilgili vergi belgeleri için vergi idaresinin duyurulması ” [State Taxation Administration Announcement on Subsidies.zip]).
Kaspersky ICS CERT’teki siber güvenlik uzmanları, bu zip arşivlerinin, karmaşık, yedi aşamalı bir enfeksiyon sürecini başlatan Asprotect veya UPX ile dolu birinci aşama yükleyiciler içerdiğini belirtti.
Fatalrat’ın çok aşamalı kaçırma çerçevesi
Kötü amaçlı yazılım enfeksiyon zinciri, HTTP istekleri aracılığıyla URL’lere HTTP istekleri aracılığıyla dinamik olarak güncellenen C2 yapılandırmalarını bir yükleyici ile başlar. http://note.youdao[.]com/yws/api/note/4b2eead06fc72ee2763ef1f653cdc4ae.
.webp)
JSON yanıtı, XOR Keys (0x58) kullanarak şifresini çözen önceki.dll (Configurator) ve fangao.dll (ikinci aşama yükleyici) gibi ikincil modüllere şifreli bağlantılar içerir.
.webp)
// Sample decryption routine in Before.dll (PDB: K:\C++\梵高远程管理客户端二号\Release\BEFORE.pdb)
for (int i = 0; i < data_length; i++) {
decrypted_data[i] = encrypted_data[i] ^ 0x58;
} Fangao.dll, WKE.DLL gibi kötü amaçlı kütüphaneleri belleğe enjekte ederek Purecodec ve DriverAssistant Meşru yazılımı dağıtır.
.webp)
Son yük, fatalrat (MD5: bcec6b78adb3cf966fab9025dacb0f05), VMware artefaktları için kayıt defteri taramaları ve Çin yerel ayarlarının doğrulanması dahil 17 anti-VM kontrolü gerçekleştirir.
# FatalRAT anti-analysis check (registry key)
Get-ItemProperty -Path "HKLM:\SYSTEM\ControlSet001\Services\disk\Enum\0" | Select-Object -Property "ClassGUID" Sıçan, tuş vuruşları C:\Windows\Fatal.keyverileri şifrelenmiş C2 kanalları aracılığıyla püskürtür (1.12.37[.]113:8081) ve MBR yolsuzluğu gibi yıkıcı komutların uzaktan yürütülmesini sağlar.
Kaspersky'nin telemetrisi, operasyonel teknoloji (OT) ortamlarına yönelik riskleri vurgulayarak tehlikeye atılmış mühendislik iş istasyonlarını ortaya çıkardı.
Kaspersky, ağların bölümlendirilmesini, dll sideloading'i izlemenizi önerir (wke.dll) ve C2 etki alanı gibi IOC'lerin engellenmesi fakaka16[.]top.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response and Threat Hunting – Register Here