Berbagai organisasi industri di wilayah Asia-Pasifik (APAC) telah ditargetkan sebagai bagian dari serangan phishing yang dirancang untuk memberikan malware yang diketahui yang disebut fatalrat.
“Ancaman itu diatur oleh penyerang yang menggunakan Jaringan Pengiriman Konten Cloud Cina yang sah (CDN) MyQCloud dan Layanan Cloud Notes YoDAO sebagai bagian dari infrastruktur serangan mereka,” kata Kaspersky ICS dalam laporan Senin.
“Para penyerang menggunakan kerangka pengiriman muatan multi-tahap yang canggih untuk memastikan penghindaran deteksi.”
Kegiatan ini telah memilih lembaga pemerintah dan organisasi industri, khususnya manufaktur, konstruksi, teknologi informasi, telekomunikasi, perawatan kesehatan, kekuatan dan energi, dan logistik dan transportasi skala besar, di Taiwan, Malaysia, Cina, Jepang, Thailand, Korea Selatan, Singapura, Singapura , Filipina, Vietnam, dan Hong Kong.
Lampiran umpan yang digunakan dalam pesan email menunjukkan bahwa kampanye phishing dirancang untuk mengejar orang-orang berbahasa Cina.
Perlu dicatat bahwa kampanye fatalrat sebelumnya telah memanfaatkan iklan Google palsu sebagai vektor distribusi. Pada bulan September 2023, Proofpoint mendokumentasikan kampanye phishing email lain yang menyebarkan berbagai keluarga malware seperti Fatalrat, GH0st Rat, Purple Fox, dan Valleyrat.
Aspek yang menarik dari kedua set intrusi adalah bahwa mereka terutama menargetkan penutur bahasa Cina dan organisasi Jepang. Beberapa kegiatan ini telah dikaitkan dengan aktor ancaman yang dilacak sebagai Silver Fox Apt.
Titik awal dari rantai serangan terbaru adalah email phishing yang berisi arsip zip dengan nama file berbahasa Cina, yang, ketika diluncurkan, meluncurkan loader tahap pertama yang, pada gilirannya, membuat permintaan ke not cloud Youdao untuk mengambil file DLL dan konfigurator fatalrat.
Untuk bagiannya, Modul Konfigurator mengunduh konten catatan lain dari note.youdao[.]com untuk mengakses informasi konfigurasi. Ini juga direkayasa untuk membuka file umpan dalam upaya untuk menghindari menimbulkan kecurigaan.
DLL, di sisi lain, adalah loader tahap kedua yang bertanggung jawab untuk mengunduh dan menginstal muatan fatalrat dari server (“MyQCloud[.]com “) ditentukan dalam konfigurasi, saat menampilkan pesan kesalahan palsu tentang masalah yang menjalankan aplikasi.
Ciri khas kampanye ini termasuk penggunaan teknik pemuatan sisi DLL untuk memajukan urutan infeksi multi-tahap dan memuat malware fatalrat.
“Aktor ancaman menggunakan metode hitam dan putih di mana aktor memanfaatkan fungsi biner yang sah untuk membuat rantai peristiwa terlihat seperti aktivitas normal,” kata Kaspersky. “Para penyerang juga menggunakan teknik pemuatan sisi DLL untuk menyembunyikan kegigihan malware dalam memori proses yang sah.”
“Fatalrat melakukan 17 cek untuk indikator bahwa malware dieksekusi dalam mesin virtual atau lingkungan kotak pasir. Jika salah satu cek gagal, malware berhenti dieksekusi.”
Ini juga mengakhiri semua contoh proses Rundll32.exe, dan mengumpulkan informasi tentang sistem dan berbagai solusi keamanan yang diinstal di dalamnya, sebelum menunggu instruksi lebih lanjut dari server perintah-dan-kontrol (C2).
Fatalrat adalah Trojan yang penuh fitur yang dilengkapi untuk mencatat penekanan tombol, Corrupt Master Boot Record (MBR), menghidupkan/mematikan layar, mencari dan menghapus data pengguna di browser seperti Google Chrome dan Internet Explorer, unduh perangkat lunak tambahan seperti AnyDesk dan Ultraviewer, Operasi file, dan mulai/hentikan proxy, dan hentikan proses sewenang -wenang.
Saat ini tidak diketahui siapa yang berada di belakang serangan menggunakan fatalrat, meskipun taktis dan instrumentasi tumpang tindih dengan kampanye lain menunjukkan bahwa “mereka semua mencerminkan serangkaian serangan yang berbeda yang entah bagaimana terkait.” Kaspersky telah menilai dengan keyakinan sedang bahwa aktor ancaman berbahasa Cina ada di belakangnya.
“Fungsionalitas Fatalrat memberi penyerang kemungkinan yang hampir tidak terbatas untuk mengembangkan serangan: menyebar melalui jaringan, memasang alat administrasi jarak jauh, memanipulasi perangkat, mencuri, dan menghapus informasi rahasia,” kata para peneliti.
“Penggunaan layanan dan antarmuka yang konsisten dalam bahasa Cina pada berbagai tahap serangan, serta bukti tidak langsung lainnya, menunjukkan bahwa aktor berbahasa Cina mungkin terlibat.”
