Diverses organisations industrielles de la région Asie-Pacifique (APAC) ont été ciblées dans le cadre des attaques de phishing conçues pour fournir un logiciel malveillant connu appelé Fatalrat.
“La menace a été orchestrée par les attaquants en utilisant le réseau de livraison de contenu cloud chinois légitime (CDN) MyQCloud et le service Youdao Cloud Notes dans le cadre de leur infrastructure d’attaque”, Kaspersky ICS CERT dit Dans un rapport lundi.
“Les attaquants ont utilisé un cadre sophistiqué de livraison de charge utile en plusieurs étapes pour assurer l’évasion de la détection.”
L’activité a distingué les agences gouvernementales et les organisations industrielles, en particulier la fabrication, la construction, les technologies de l’information, les télécommunications, les soins de santé, l’énergie et l’énergie, et la logistique et les transports à grande échelle, à Taïwan, en Malaisie, en Chine, au Japon, en Thaïlande, en Corée du Sud, à Singapour, , les Philippines, le Vietnam et Hong Kong.
Les pièces jointes utilisées dans les e-mails suggèrent que la campagne de phishing est conçue pour s’attaquer aux personnes de langue chinoise.
Il convient de noter que Fatalrat Les campagnes ont précédemment exploité des fausses publicités Google en tant que vecteur de distribution. En septembre 2023, Proofpoint a documenté une autre campagne de phishing par e-mail qui a propagé diverses familles de logiciels malveillants tels que Fatalrat, Gh0st Rat, Purple Fox et Valleyrat.
Un aspect intéressant des deux ensembles d’intrusion est qu’ils ont principalement ciblé des orateurs chinois et des organisations japonaises. Certaines de ces activités ont été attribuées à un acteur de menace suivi comme Silver Fox Apt.
Le point de départ de la dernière chaîne d’attaque est un e-mail de phishing contenant une archive zip avec un nom de fichier chinois, qui, lorsqu’il est lancé, lance le chargeur de première étape qui, à son tour, fait une demande à Youdao Cloud Notes afin de récupérer un fichier DLL et un configurateur fatalrat.
Pour sa part, le module de configurator télécharge le contenu d’une autre note de note.youdao[.]com afin d’accéder aux informations de configuration. Il est également conçu pour ouvrir un fichier de leurre dans le but d’éviter de soutenir les soupçons.
La DLL, en revanche, est un chargeur de deuxième étape qui est responsable du téléchargement et de l’installation de la charge utile Fatalrat d’un serveur (“MyQCloud[.]com “) spécifié dans la configuration, tout en affichant un faux message d’erreur sur un problème exécutant l’application.
Une caractéristique importante de la campagne comprend l’utilisation de techniques de chargement latéral DLL pour faire avancer la séquence d’infection en plusieurs étapes et charger le malware Fatalrat.
“L’acteur de menace utilise une méthode en noir et blanc où l’acteur exploite la fonctionnalité des binaires légitimes pour faire ressembler la chaîne d’événements à une activité normale”, a déclaré Kaspersky. “Les attaquants ont également utilisé une technique de chargement latéral DLL pour cacher la persistance des logiciels malveillants dans la mémoire de processus légitime.”
“Fatalrat effectue 17 vérifie un indicateur que le malware exécute dans un environnement de machine virtuelle ou de bac à sable. Si l’un des vérifications échoue, le malware cesse d’exécuter.”
Il met également fin à toutes les instances du processus Rundll32.exe et rassemble des informations sur le système et les différentes solutions de sécurité qui y sont installées, avant d’attendre d’autres instructions d’un serveur de commande et de contrôle (C2).
Fatalrat est un cheval de Troie rempli de fonctionnalités qui est équipé pour enregistrer les frappes, un enregistrement de démarrage principal corrompu (MBR), activer / désactiver l’écran, rechercher et supprimer les données utilisateur dans des navigateurs comme Google Chrome et Internet Explorer, télécharger des logiciels supplémentaires comme AnyDesk et Ultraviewer, effectuer Google Chrome et Internet Fichier des opérations et démarrer / arrêter un proxy et terminer les processus arbitraires.
On ne sait actuellement pas qui est derrière les attaques utilisant Fatalrat, bien que la tactique et l’instrumentation chevauchent d’autres campagnes suggèrent que “ils reflètent tous différentes séries d’attaques qui sont en quelque sorte liées”. Kaspersky a évalué avec une confiance moyenne qu’un acteur de menace chinois est derrière.
“La fonctionnalité de Fatalrat donne à un attaquant des possibilités presque illimitées de développer une attaque: se propager sur un réseau, installer des outils d’administration à distance, manipuler des appareils, voler et supprimer des informations confidentielles”, ont déclaré les chercheurs.
“L’utilisation cohérente des services et des interfaces en chinois à divers stades de l’attaque, ainsi que d’autres preuves indirectes, indique qu’un acteur de langue chinois peut être impliqué.”




