Varias organizaciones industriales en la región de Asia-Pacífico (APAC) se han dirigido como parte de los ataques de phishing diseñados para entregar un malware conocido llamado FatalRat.
“La amenaza fue orquestada por los atacantes utilizando la red legítima de la red de entrega de contenido en la nube chino (CDN) Myqcloud y el servicio de Notas de la nube de Yodao como parte de su infraestructura de ataque”, Cert Kaspersky ICS Cert dicho En un informe del lunes.
“Los atacantes emplearon un sofisticado marco de entrega de carga útil de varias etapas para garantizar la evasión de la detección”.
La actividad ha señalado agencias gubernamentales y organizaciones industriales, particularmente fabricación, construcción, tecnología de la información, telecomunicaciones, atención médica, energía y energía, y logística y transporte a gran escala, en Taiwán, Malasia, China, Japón, Tailandia, Corea del Sur, Singapur. , Filipinas, Vietnam y Hong Kong.
Los accesorios de señuelo utilizados en los mensajes de correo electrónico sugieren que la campaña de phishing está diseñada para ir después de personas de habla china.
Vale la pena señalar que Fatal Las campañas han aprovechado previamente los anuncios de Google falsos como un vector de distribución. En septiembre de 2023, Proofpoint documentó otra campaña de phishing de correo electrónico que propagó a varias familias de malware como Fatalrat, GH0st Rat, Purple Fox y Valleyrat.
Un aspecto interesante de ambos conjuntos de intrusiones es que se han dirigido principalmente a oradores en idioma chino y organizaciones japonesas. Algunas de estas actividades se han atribuido a un actor de amenazas rastreado como Silver Fox Apt.
El punto de partida de la última cadena de ataque es un correo electrónico de phishing que contiene un archivo postal con un nombre de archivo en idioma chino, que, cuando se lanza, lanza el cargador de la primera etapa que, a su vez, hace una solicitud a las notas de la nube de Yodao para recuperar un archivo DLL y un configurador FatalRat.
Por su parte, el módulo de configuración descarga el contenido de otra nota de nota. Youdao[.]com para acceder a la información de configuración. También está diseñado para abrir un archivo señuelo en un esfuerzo por evitar aumentar las sospechas.
La DLL, por otro lado, es un cargador de segunda etapa responsable de descargar e instalar la carga útil de FatalRat desde un servidor (“Myqcloud[.]com “) especificado en la configuración, mientras se muestra un mensaje de error falso sobre un problema que ejecuta la aplicación.
Un sello distintivo importante de la campaña incluye el uso de técnicas de carga lateral de DLL para avanzar en la secuencia de infección de varias etapas y cargar el malware fatalRat.
“El actor de amenaza utiliza un método en blanco y negro donde el actor aprovecha la funcionalidad de los binarios legítimos para hacer que la cadena de eventos parezca una actividad normal”, dijo Kaspersky. “Los atacantes también utilizaron una técnica de carga lateral DLL para ocultar la persistencia del malware en la memoria de proceso legítima”.
“Fatalrat realiza 17 comprobaciones para un indicador de que el malware se ejecuta en una máquina virtual o un entorno de Sandbox. Si alguna de las comprobaciones fallan, el malware deja de ejecutarse”.
También termina todas las instancias del proceso RUNDLL32.exe, y recopila información sobre el sistema y las diversas soluciones de seguridad instaladas en él, antes de esperar más instrucciones desde un servidor de comando y control (C2).
FatalRat es un troyano lleno de funciones que está equipado para registrar las teclas de registro de teclas, corrupto registro de arranque maestro (MBR), encender/desactivar la pantalla, buscar y eliminar datos de usuarios en navegadores como Google Chrome e Internet Explorer, descargar software adicional como AnyDesk y UltraViewer, realizar Operaciones de archivo e iniciar/detener un proxy y terminar procesos arbitrarios.
Actualmente no se sabe quién está detrás de los ataques usando Fatalrat, aunque la táctica e instrumentación se superpone con otras campañas sugieren que “todos reflejan diferentes series de ataques que de alguna manera están relacionados”. Kaspersky ha evaluado con confianza media de que un actor de amenaza de habla china está detrás de él.
“La funcionalidad de Fatalrat ofrece a un atacante posibilidades casi ilimitadas para desarrollar un ataque: propagar una red, instalar herramientas de administración remota, manipular dispositivos, robar y eliminar información confidencial”, dijeron los investigadores.
“El uso constante de servicios e interfaces en chino en varias etapas del ataque, así como otras pruebas indirectas, indica que un actor de habla china puede estar involucrado”.
About the Author
