FatalRAT-Phishing-Angriffe
Industrieunternehmen im gesamten asiatisch-pazifischen Raum (APAC) sind in den Fokus einer ausgeklügelten Phishing-Kampagne geraten, die darauf abzielt, die Bedrohung FatalRAT zu verbreiten. Die von Cyberkriminellen sorgfältig orchestrierte Operation nutzt legitime chinesische Cloud-Dienste wie myqcloud und Youdao Cloud Notes, um ihre Angriffsinfrastruktur zu unterstützen. Die Angreifer entgehen effektiv der Entdeckung und verlängern ihr Eindringen, indem sie ein mehrstufiges Payload-Übermittlungssystem einsetzen.
Inhaltsverzeichnis
Hochwertige Ziele in kritischen Sektoren
Die Kampagne hat Regierungsstellen und wichtige Industriezweige im Visier, darunter Fertigung, Bauwesen, IT, Telekommunikation, Gesundheitswesen, Energie, Logistik und Transport. Die Liste der betroffenen Regionen umfasst Taiwan, Malaysia, China, Japan, Thailand, Südkorea, Singapur, die Philippinen, Vietnam und Hongkong.
Sprachspezifische Köder für maximale Wirkung
Die Analyse der Anhänge der Phishing-E-Mails zeigt, dass die Kampagne in erster Linie auf chinesischsprachige Personen abzielt. Dieser Ansatz lässt auf einen gezielten Versuch schließen, in Organisationen einzudringen, in denen Mandarin die vorherrschende Sprache ist, was eine höhere Erfolgswahrscheinlichkeit gewährleistet.
Die Entwicklung der Verbreitungsmethoden von FatalRAT
FatalRAT wurde in der Vergangenheit mit verschiedenen Verbreitungsmethoden in Verbindung gebracht. Frühere Kampagnen nutzten gefälschte Google-Anzeigen, um die Bedrohung zu verbreiten. Im September 2023 dokumentierten Forscher eine weitere Phishing-Kampagne, bei der FatalRAT zusammen mit anderen Bedrohungen wie Gh0st RAT, Purple Fox und ValleyRAT verbreitet wurde.
Verbindungen zum Silver Fox APT
Einige dieser Kampagnen wurden der Silver Fox APT zugeschrieben, einem Bedrohungsakteur, der dafür bekannt ist, chinesischsprachige Benutzer und japanische Organisationen ins Visier zu nehmen. Diese Verbindung unterstreicht die möglichen geopolitischen Motive hinter diesen Angriffen noch weiter.
Die Angriffskette: Von der Phishing-E-Mail bis zum vollständigen Angriff
Der Angriff beginnt mit einer Phishing-E-Mail, die ein ZIP-Archiv enthält, das mit einem chinesischen Dateinamen getarnt ist. Beim Öffnen startet dieses Archiv einen First-Stage-Loader, der auf Youdao Cloud Notes zugreift, um eine DLL-Datei und einen FatalRAT-Konfigurator abzurufen. Der Konfigurator greift wiederum auf eine andere Youdao Cloud-Notiz zu, um Konfigurationsdaten zu extrahieren, während gleichzeitig eine Lockdatei geöffnet wird, um den Verdacht zu minimieren.
Nutzung des seitlichen Ladens von DLLs für Stealth
Ein kritisches Merkmal dieser Kampagne ist die Verwendung von DLL-Sideloading-Techniken, um die Infektionssequenz voranzutreiben. Der DLL-Loader der zweiten Stufe lädt die FatalRAT-Nutzlast von einem Remote-Server herunter und installiert sie, der auf myqcloud.com gehostet wird, während er eine gefälschte Fehlermeldung anzeigt, um Benutzer zu täuschen. Durch die Abhängigkeit von legitimen Binärdateien kann sich die Angriffskette in die normale Systemaktivität einfügen, was die Erkennungsbemühungen erschwert.
Fortgeschrittene Ausweichtaktiken im Spiel
FatalRAT ist darauf ausgelegt, virtuelle Maschinen und Sandbox-Umgebungen zu erkennen. Vor der Ausführung führt es 17 verschiedene Prüfungen durch. Wenn eine Prüfung fehlschlägt, wird die Malware beendet, um eine Analyse zu vermeiden. Darüber hinaus beendet sie alle Instanzen des Prozesses rundll32.exe und sammelt Systeminformationen, einschließlich Details zu installierten Sicherheitslösungen, bevor sie sich für weitere Anweisungen mit ihrem Command-and-Control-Server (C2) verbindet.
Ein vielseitiges und bedrohliches Werkzeug
FatalRAT ist mit umfangreichen Funktionen ausgestattet, die Angreifern erhebliche Kontrolle über kompromittierte Geräte verleihen. Der Trojaner kann Tastatureingaben protokollieren, den Master Boot Record (MBR) manipulieren, Bildschirmfunktionen steuern, Browserdaten aus Google Chrome und Internet Explorer löschen, Remote-Access-Tools wie AnyDesk und UltraViewer installieren, Dateioperationen ausführen, Proxy-Verbindungen ermöglichen und beliebige Prozesse beenden.
Identifizierung des Bedrohungsakteurs hinter FatalRAT
Während die genauen Täter noch nicht identifiziert sind, deuten taktische Ähnlichkeiten über mehrere Kampagnen hinweg darauf hin, dass diese Angriffe einen gemeinsamen Ursprung haben. Forscher gehen mit mittlerer Sicherheit davon aus, dass ein chinesisch sprechender Bedrohungsakteur dafür verantwortlich ist. Die konsequente Verwendung chinesischsprachiger Dienste und Schnittstellen während des gesamten Angriffszyklus stützt diese Theorie weiter.
Das große Ganze: Ein Werkzeug für langfristige Cyber-Spionage
Die breite Funktionalität von FatalRAT bietet Cyberkriminellen endlose Möglichkeiten zur langfristigen Infiltration. Die Fähigkeit, sich über Netzwerke auszubreiten, zusätzliche Tools zu installieren, Systeme zu manipulieren und vertrauliche Daten zu exfiltrieren, macht es zu einer beeindruckenden Waffe in den Händen hartnäckiger Angreifer. Die Überschneidung mit früheren Angriffen und die wiederholte Verwendung chinesischsprachiger Ressourcen lassen auf eine gut organisierte Kampagne schließen, die auf Spionage und Datendiebstahl abzielt.
