Asya-Pasifik (APAC) bölgesindeki çeşitli endüstriyel kuruluşlar, Fatalrat adlı bilinen bir kötü amaçlı yazılım sunmak için tasarlanmış kimlik avı saldırılarının bir parçası olarak hedeflenmiştir.
Kaspersky ICS CERT, “Tehdit Meşru Çin Bulut İçerik Dağıtım Ağı (CDN) MYQCLOUD ve YouDAO Cloud Notes Hizmetini Saldırı Altyapıları’nın bir parçası olarak kullanan saldırganlar tarafından düzenlendi.” söz konusu Pazartesi raporunda.
“Saldırganlar, tespitin kaçınmasını sağlamak için sofistike bir çok aşamalı yük dağıtım çerçevesi kullandılar.”
Etkinlik, Tayvan, Malezya, Çin, Japonya, Tayland, Güney Kore, Singapur, Filipinler, Vietnam ve Hong Kong’da, özellikle üretim, inşaat, bilgi teknolojisi, telekomünikasyon, sağlık, güç ve enerji ve büyük ölçekli lojistik ve ulaşım gibi devlet kurumlarını ve endüstriyel kuruluşları seçti.
E-posta mesajlarında kullanılan cazibe ekleri, kimlik avı kampanyasının Çince konuşan bireylerin peşinden gitmek için tasarlandığını göstermektedir.
Bunu belirtmek gerekir Fatalrat Kampanyalar daha önce sahte Google reklamlarını dağıtım vektörü olarak kullanmıştır. Eylül 2023’te Proofpoint, Fatalrat, GH0ST Rat, Purple Fox ve Valleyrat gibi çeşitli kötü amaçlı yazılım ailelerini yayan başka bir e -posta kimlik avı kampanyasını belgeledi.
Her iki saldırı setinin ilginç bir yönü, öncelikle Çince konuşmacıları ve Japon organizasyonlarını hedeflemeleridir. Bu faaliyetlerin bazıları Silver Fox Apt olarak izlenen bir tehdit oyuncusu ile ilişkilendirildi.
En son saldırı zincirinin başlangıç noktası, başlatıldığında, bir DLL dosyası ve fatalrat yapılandırıcısını almak için Youdao Cloud Notes’a bir istekte bulunan ilk aşama yükleyiciyi başlatan Çince dilli bir dosya adına sahip bir zip arşivi içeren bir kimlik avı e-postasıdır.
Konfigüratör modülü, başka bir notun içeriğini not.[.]com yapılandırma bilgilerine erişmek için. Ayrıca, şüphe uyandırmaktan kaçınmak için bir tuzak dosyası açmak için tasarlanmıştır.
Öte yandan DLL, Fatalrat yükünü bir sunucudan indirmek ve yüklemekten sorumlu ikinci aşamalı bir yükleyicidir (“Myqcloud[.]com “) uygulamayı çalıştıran bir sorunla ilgili sahte bir hata mesajı görüntülerken yapılandırmada belirtilmiştir.
Kampanyanın önemli bir ayırt edici özelliği, çok aşamalı enfeksiyon dizisini ilerletmek ve fatalrat kötü amaçlı yazılımları yüklemek için DLL yan yükleme tekniklerinin kullanılmasını içerir.
Kaspersky, “Tehdit oyuncusu, aktörün olaylar zincirinin normal aktivite gibi görünmesi için meşru ikili dosyaların işlevselliğini kullandığı siyah beyaz bir yöntem kullanıyor.” Dedi. “Saldırganlar ayrıca meşru süreç belleğinde kötü amaçlı yazılımın kalıcılığını gizlemek için bir DLL yan yükleme tekniği kullandılar.”
“Fatalrat, kötü amaçlı yazılımın bir sanal makinede veya sanal alan ortamında yürütüldüğünü gösteren 17 kontrol gerçekleştirir. Çeklerden herhangi biri başarısız olursa, kötü amaçlı yazılım yürütmeyi durdurur.”
Ayrıca Rundll32.exe işleminin tüm örneklerini sonlandırır ve bir komut ve kontrol (C2) sunucusundan daha fazla talimat beklemeden önce sistem ve içine yüklenen çeşitli güvenlik çözümleri hakkında bilgi toplar.
Fatalrat, günlük tuşları, yozlaşmış ana çizme kaydı (MBR), açılı/kapalı ekranı, Google Chrome ve Internet Explorer gibi tarayıcılarda kullanıcı verilerini arayın ve silin, AnyDesk ve UltraViewer gibi ek yazılımlar indirin, dosya işlemlerini gerçekleştirin ve bir proxy gerçekleştirin ve görüşlü süreçleri sonlandırın.
Şu anda Fatalrat kullanan saldırıların arkasında kimin olduğu bilinmemektedir, ancak taktik ve enstrümantasyon diğer kampanyalarla örtüşüyor, “hepsinin bir şekilde ilgili farklı saldırıları yansıttığını” gösteriyor. Kaspersky, Çince konuşan bir tehdit oyuncusunun arkasında olduğunu orta güvenle değerlendirdi.
Araştırmacılar, “Fatalrat’ın işlevselliği bir saldırgana bir saldırı geliştirmek için neredeyse sınırsız olasılıklar veriyor: bir ağ üzerine yayılmak, uzaktan yönetim araçlarını kurmak, cihazları manipüle etmek, gizli bilgileri çalmak ve silmek.” Dedi.
Diyerek şöyle devam etti: “Saldırının çeşitli aşamalarında Çince hizmet ve arayüzlerin tutarlı kullanımı ve diğer dolaylı kanıtlar, Çince konuşan bir aktörün dahil olabileceğini gösteriyor.”
