Le organizzazioni industriali nella regione Asia-Pacifico (APAC) sono state prese di mira attraverso attacchi di phishing volti a diffondere un malware noto come FatalRAT. Questi attacchi sono stati orchestrati utilizzando la rete di distribuzione di contenuti cloud cinese myqcloud e il servizio Youdao Cloud Notes come parte dell'infrastruttura d'attacco. Gli aggressori hanno impiegato un framework di consegna del payload multi-stadio sofisticato per evitare il rilevamento. Le attività hanno colpito agenzie governative e organizzazioni industriali, in particolare nei settori manifatturiero, delle costruzioni, della tecnologia dell'informazione, delle telecomunicazioni, sanitario, energetico, della logistica e dei trasporti su larga scala in paesi come Taiwan, Malesia, Cina, Giappone, Thailandia, Corea del Sud, Singapore, Filippine, Vietnam e Hong Kong.

Gli allegati usati nei messaggi email

Gli allegati usati nei messaggi email suggeriscono che la campagna di phishing sia progettata per colpire individui di lingua cinese. È interessante notare che le campagne di FatalRAT hanno precedentemente sfruttato falsi annunci Google come vettore di distribuzione. Nel settembre 2023, Proofpoint ha documentato un'altra campagna di phishing via email che propagava varie famiglie di malware come FatalRAT, Gh0st RAT, Purple Fox e ValleyRAT. Un aspetto interessante di entrambi i set di intrusione è che hanno preso di mira principalmente parlanti di lingua cinese e organizzazioni giapponesi. Alcune di queste attività sono state attribuite a un attore di minacce tracciato come Silver Fox APT.

Il punto di partenza dell'ultima catena di attacco

Il punto di partenza dell'ultima catena di attacco è un'email di phishing contenente un archivio ZIP con un nome file in lingua cinese che, una volta lanciato, avvia il caricatore di primo stadio, che a sua volta invia una richiesta a Youdao Cloud Notes per recuperare un file DLL e un configuratore di FatalRAT. Il modulo configuratore scarica i contenuti di un'altra nota da note.youdao[.]com per accedere alle informazioni di configurazione. È anche progettato per aprire un file esca per evitare di destare sospetti. D'altra parte, il DLL è un caricatore di secondo stadio responsabile di scaricare e installare il payload di FatalRAT da un server specificato nella configurazione, mentre mostra un falso messaggio di errore riguardo un problema nell'esecuzione dell'applicazione.

Un'importante caratteristica distintiva della campagna

Un'importante caratteristica distintiva della campagna include l'uso di tecniche di side-loading di DLL per avanzare nella sequenza di infezione multi-stadio e caricare il malware FatalRAT. L'attore della minaccia utilizza un metodo in bianco e nero, sfruttando la funzionalità di binari legittimi per far sembrare la catena degli eventi un'attività normale. Gli aggressori hanno anche utilizzato una tecnica di side-loading di DLL per nascondere la persistenza del malware nella memoria del processo legittimo. FatalRAT esegue 17 controlli per un indicatore che il malware venga eseguito in una macchina virtuale o in un ambiente sandbox. Se uno dei controlli fallisce, il malware smette di eseguire.

Il malware termina anche tutte le istanze del processo rundll32.exe e raccoglie informazioni sul sistema e sulle varie soluzioni di sicurezza installate, prima di attendere ulteriori istruzioni da un server di comando e controllo (C2). Non è attualmente noto chi sia dietro gli attacchi che utilizzano FatalRAT, anche se le sovrapposizioni tattiche e strumentali con altre campagne suggeriscono che "riflettono tutte diverse serie di attacchi che sono in qualche modo correlati". Kaspersky ha valutato con fiducia media che un attore di minacce di lingua cinese sia dietro a tutto ciò.