Фишинговая кампания, нацеленная на государственные и промышленные организации в регионе Азиатско-Тихоокеанских стран, распространяет вредоносное ПО FatalRAT через письма с вложениями. Злоумышленники используют ZIP-архивы с китайскоязычными именами файлов, которые при открытии автоматически запускают первый загрузчик.
Полученный загрузчик обращается к сервису Youdao Cloud Notes для извлечения компонентов, необходимых для дальнейшей работы. В рамках многоступенчатой архитектуры адвертинг сначала загружается DLL-файл, отвечающий за установку основного вредоносного компонента, который скачивается с серверов, размещённых на китайском облачном сервисе .
Для обхода обнаружения используется сложная многоступенчатая технология, включающая DLL side-loading, которая позволяет загружать вредоносное ПО через легитимные бинарные файлы. Как отмечает Kaspersky, «злоумышленник использует метод «чёрного и белого», полагаясь на функциональность легитимных бинарников, чтобы события выглядели нормальными».
В основе атаки лежит активное использование китайской облачной инфраструктуры. Сервис Youdao Cloud Notes применяется для доставки DLL-файлов и конфигуратора FatalRAT, в то время как myqcloud служит площадкой для размещения серверов, распространяющих основное вредоносное ПО. Дополнительная конфигурационная информация извлекается с .
Атака ориентирована на широкий спектр отраслей – от производства и строительства до информационных технологий, телекоммуникаций, здравоохранения, энергетики, а также крупных логистических и транспортных компаний. Среди целевых государств и регионов числятся Тайвань, Малайзия, Китай, Япония, Таиланд, Южная Корея, Сингапур, Филиппины, Вьетнам и Гонконг, при этом письма формируются для китайскоязычных пользователей.
Аналогичные кампании уже замечались ранее. Ранее FatalRAT распространялся через поддельные объявления Google Ads, а в сентябре 2023 года Proofpoint зафиксировал рассылку, в которой использовались иные вредоносные семейства – Gh0st RAT, Purple Fox и ValleyRAT. Некоторые наблюдения связывают эти атаки с группой, известной как Silver Fox APT, а анализ Kaspersky указывает на возможное участие китайскоязычного злоумышленника.
При выполнении своих функций вредоносное ПО активирует цепочку загрузки: при запуске ZIP-архива выполняется первый загрузчик, который получает с Youdao Cloud Notes DLL-файл с конфигуратором, далее конфигуратор извлекает дополнительные параметры с и открывает отвлекающий файл. После этого второй загрузчик («DLL») скачивает и устанавливает основной компонент FatalRAT с серверов , демонстрируя подделанное сообщение об ошибке.
FatalRAT оборудован механизмами защиты, проводящими 17 проверок для обнаружения виртуальных машин или песочниц, при нарушении которых его выполнение прекращается. Программа завершает работу процесса rundll32.exe, собирает информацию о системе и установленных решениях безопасности, а затем ожидает команд от сервера управления (C2).
Функциональные возможности вредоносного ПО весьма широки: оно регистрирует нажатия клавиш, заражает Master Boot Record, управляет отображением экрана, осуществляет поиск и удаление пользовательских данных в браузерах Google Chrome и Internet Explorer. Дополнительно загружаются утилиты удалённого доступа AnyDesk и UltraViewer, а также выполняются произвольные файловые операции, управление прокси и остановка процессов.
Несмотря на отсутствие окончательной атрибуции, тактические и технические сходства между кампаниями указывают на возможную связь между текущей операцией и предыдущими атаками. Отчёт, опубликованный Kaspersky ICS CERT в понедельник, подчёркивает тенденцию использования китайских облачных сервисов для скрытия операций, что значительно осложняет борьбу с киберугрозами в регионе APAC.
Изображение носит иллюстративный характер
Полученный загрузчик обращается к сервису Youdao Cloud Notes для извлечения компонентов, необходимых для дальнейшей работы. В рамках многоступенчатой архитектуры адвертинг сначала загружается DLL-файл, отвечающий за установку основного вредоносного компонента, который скачивается с серверов, размещённых на китайском облачном сервисе .
Для обхода обнаружения используется сложная многоступенчатая технология, включающая DLL side-loading, которая позволяет загружать вредоносное ПО через легитимные бинарные файлы. Как отмечает Kaspersky, «злоумышленник использует метод «чёрного и белого», полагаясь на функциональность легитимных бинарников, чтобы события выглядели нормальными».
В основе атаки лежит активное использование китайской облачной инфраструктуры. Сервис Youdao Cloud Notes применяется для доставки DLL-файлов и конфигуратора FatalRAT, в то время как myqcloud служит площадкой для размещения серверов, распространяющих основное вредоносное ПО. Дополнительная конфигурационная информация извлекается с .
Атака ориентирована на широкий спектр отраслей – от производства и строительства до информационных технологий, телекоммуникаций, здравоохранения, энергетики, а также крупных логистических и транспортных компаний. Среди целевых государств и регионов числятся Тайвань, Малайзия, Китай, Япония, Таиланд, Южная Корея, Сингапур, Филиппины, Вьетнам и Гонконг, при этом письма формируются для китайскоязычных пользователей.
Аналогичные кампании уже замечались ранее. Ранее FatalRAT распространялся через поддельные объявления Google Ads, а в сентябре 2023 года Proofpoint зафиксировал рассылку, в которой использовались иные вредоносные семейства – Gh0st RAT, Purple Fox и ValleyRAT. Некоторые наблюдения связывают эти атаки с группой, известной как Silver Fox APT, а анализ Kaspersky указывает на возможное участие китайскоязычного злоумышленника.
При выполнении своих функций вредоносное ПО активирует цепочку загрузки: при запуске ZIP-архива выполняется первый загрузчик, который получает с Youdao Cloud Notes DLL-файл с конфигуратором, далее конфигуратор извлекает дополнительные параметры с и открывает отвлекающий файл. После этого второй загрузчик («DLL») скачивает и устанавливает основной компонент FatalRAT с серверов , демонстрируя подделанное сообщение об ошибке.
FatalRAT оборудован механизмами защиты, проводящими 17 проверок для обнаружения виртуальных машин или песочниц, при нарушении которых его выполнение прекращается. Программа завершает работу процесса rundll32.exe, собирает информацию о системе и установленных решениях безопасности, а затем ожидает команд от сервера управления (C2).
Функциональные возможности вредоносного ПО весьма широки: оно регистрирует нажатия клавиш, заражает Master Boot Record, управляет отображением экрана, осуществляет поиск и удаление пользовательских данных в браузерах Google Chrome и Internet Explorer. Дополнительно загружаются утилиты удалённого доступа AnyDesk и UltraViewer, а также выполняются произвольные файловые операции, управление прокси и остановка процессов.
Несмотря на отсутствие окончательной атрибуции, тактические и технические сходства между кампаниями указывают на возможную связь между текущей операцией и предыдущими атаками. Отчёт, опубликованный Kaspersky ICS CERT в понедельник, подчёркивает тенденцию использования китайских облачных сервисов для скрытия операций, что значительно осложняет борьбу с киберугрозами в регионе APAC.
