26/02/25
Киберпреступники атаковали промышленные организации в Азиатско-Тихоокеанском регионе (АТР) с помощью кампании фишинговых атак, направленных на распространение опасного вредоносного ПО FatalRAT.
Жертвами стали государственные учреждения и предприятия в сфере производства, строительства, информационных технологий, телекоммуникаций, здравоохранения, энергетики и логистики, пишет Securitylab. В списке затронутых стран — Тайвань, Малайзия, Китай, Япония, Таиланд, Южная Корея, Сингапур, Филиппины, Вьетнам и Гонконг.
Злоумышленники использовали облачные китайские сервисы, включая платформу myqcloud и Youdao Cloud Notes, для доставки вредоносного кода. По данным Kaspersky ICS CERT, преступники разработали сложную многоэтапную систему доставки вредоносного ПО, позволяющую обходить защитные механизмы.
Атака начинается с фишингового письма с ZIP-архивом, название которого написано на китайском языке. При открытии файла запускается первый загрузчик, который обращается к Youdao Cloud Notes для скачивания DLL-библиотеки и конфигуратора FatalRAT. Последний загружает дополнительные данные из облачного сервиса и открывает ложный файл, чтобы жертва не заподозрила неладное.
Основной механизм заражения — подмена DLL-библиотек, позволяющая маскировать вредоносное ПО под легитимные процессы Windows. После успешного выполнения цепочки атакующее ПО загружает FatalRAT с сервера «myqcloud[.]com», скрывая свои следы с помощью поддельного сообщения об ошибке.
FatalRAT обладает широким спектром функций: кейлоггер, манипуляции с загрузочным MBR-сектором, контроль экрана, удаление пользовательских данных в браузерах, загрузка удалённого ПО (например, AnyDesk и UltraViewer), файловые операции, управление прокси-сервером и принудительное завершение процессов. Кроме того, зловред проводит 17 проверок на виртуальные машины и песочницы, прекращая выполнение при обнаружении анализа в изолированной среде.
Ранее кампании с использованием FatalRAT распространялись через поддельные Google Ads. В сентябре 2023 года специалисты Proofpoint зафиксировали подобные атаки, в ходе которых распространялись также Gh0st RAT, Purple Fox и ValleyRAT. Часть этих операций связывают с группировкой Silver Fox, специализирующейся на атаках против китаеязычных и японских организаций.
Эксперты полагают, что за организацией этих атак так же стоит китаеязычная группа. В пользу этой гипотезы говорит использование китайских облачных сервисов и интерфейсов на всех этапах заражения.
