Diversas organizações industriais na região da Ásia-Pacífico (APAC) foram alvo de ataques de phishing projetados para entregar um malware conhecido como FatalRAT.
"A ameaça foi orquestrada por atacantes usando a legítima rede chinesa de entrega de conteúdo em nuvem (CDN) myqcloud e o serviço de Notas em Nuvem da Youdao como parte de sua infraestrutura de ataque," disse a Kaspersky ICS CERT em um relatório de segunda-feira(24).
Os atacantes empregaram um sofisticado quadro de entrega de payload útil em múltiplas etapas para garantir a evasão da detecção.
A atividade destacou agências governamentais e organizações industriais, particularmente nos setores de manufatura, construção, tecnologia da informação, telecomunicações, saúde, energia e logística e transporte em larga escala, em Taiwan, Malásia, China, Japão, Tailândia, Coreia do Sul, Singapura, Filipinas, Vietnã e Hong Kong.
Os anexos iscas usados nas mensagens de e-mail sugerem que a campanha de phishing foi projetada para mirar em indivíduos que falam chinês.
É importante notar que campanhas anteriores do FatalRAT também exploraram anúncios falsos do Google Ads como um vetor de distribuição.
Em setembro de 2023, a Proofpoint documentou outra campanha de phishing por e-mail que propagou várias famílias de malware como FatalRAT, Gh0st RAT, Purple Fox e ValleyRAT.
Um aspecto interessante de ambos os conjuntos de intrusão é que eles visaram principalmente falantes da língua chinesa e organizações japonesas.
Algumas dessas atividades foram atribuídas a um ator de ameaça rastreado como Silver Fox APT.
O ponto de partida da cadeia de ataque mais recente é um e-mail de phishing contendo um arquivo ZIP com um nome de arquivo em chinês, que, ao ser lançado, inicia o carregador de primeira fase que, por sua vez, faz uma solicitação ao Youdao Cloud Notes para recuperar um arquivo DLL e um configurador FatalRAT.
Por sua vez, o módulo configurador baixa o conteúdo de outra nota de note.youdao[.]com para acessar as informações de configuração.
Ele também é projetado para abrir um arquivo isca numa tentativa de evitar suspeitas.
O DLL, por outro lado, é um carregador de segunda fase responsável por baixar e instalar o payload útil do FatalRAT de um servidor ("myqcloud[.]com") especificado na configuração, ao mesmo tempo em que exibe uma mensagem de erro falsa sobre um problema ao executar a aplicação.
Um marco importante da campanha inclui o uso de técnicas de side-loading de DLL para avançar na sequência de infecção em múltiplas etapas e carregar o malware FatalRAT.
"O ator da ameaça usa um método preto e branco onde o ator tira proveito da funcionalidade de binários legítimos para fazer a cadeia de eventos parecer uma atividade normal," disse a Kaspersky.
"Os atacantes também usaram uma técnica de side-loading de DLL para esconder a persistência do malware na memória do processo legítimo." "FatalRAT realiza 17 verificações para um indicador de que o malware executa em uma máquina virtual ou ambiente sandbox.
Se qualquer uma das verificações falhar, o malware para de executar." Ele também termina todas as instâncias do processo rundll32.exe, e coleta informações sobre o sistema e as várias soluções de segurança instaladas nele, antes de aguardar mais instruções de um servidor de comando e controle (C2).
FatalRAT é um trojan repleto de recursos que está equipado para registrar keystrokes, corromper o Master Boot Record (MBR), ligar/desligar a tela, procurar e deletar dados de usuário em navegadores como Google Chrome e Internet Explorer, baixar software adicional como AnyDesk e UltraViewer, realizar operações de arquivo e iniciar/parar um proxy e terminar processos arbitrários.
Atualmente, não se sabe quem está por trás dos ataques usando FatalRAT, embora as sobreposições táticas e de instrumentação com outras campanhas sugerem que "todos refletem diferentes séries de ataques que estão de alguma forma relacionados." A Kaspersky avaliou com confiança média que um ator de ameaça de língua chinesa está por trás dele.
"A funcionalidade do FatalRAT dá a um atacante quase possibilidades ilimitadas para desenvolver um ataque: espalhar-se pela rede, instalar ferramentas de administração remota, manipular dispositivos, roubar e deletar informações confidenciais," disseram os pesquisadores.
O uso consistente de serviços e interfaces em chinês em várias etapas do ataque, bem como outras evidências indiretas, indica que um ator de língua chinesa pode estar envolvido.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...