Целевая атака на промышленные организации с использованием FatalRAT
Источник: ics-cert.kaspersky.com
Недавнее расследование, проведенное Kaspersky ICS CERT, выявило изощренного хакера, который нацелился на промышленные организации в Азиатско-Тихоокеанском регионе, в частности, на предприятия, говорящие на китайском языке. Злоумышленники применили сложную многоступенчатую систему доставки полезной нагрузки, используя легальные китайские облачные сервисы, чтобы избежать обнаружения.
Методы атаки и распространение вредоносного ПО
Расследование показало, что злоумышленники использовали следующие методы:
- Легальные облачные сервисы: такие как myqcloud и Youdao Cloud Notes.
- Собственная CDN-сеть для размещения файлов.
- Динамическое изменение адресов команд и контроля (C2).
- Дополнительная загрузка библиотек DLL с использованием общедоступных упаковщиков, таких как ASProtect, UPX или NSPack.
Инфраструктура вредоносного ПО
Одним из основных компонентов атакующего инструментария стало вредоносное ПО FatalRAT. Оно внедрялось в целевые системы через многоэтапную установку, используя ZIP-архивы, отправляемые по электронной почте, WeChat и Telegram. Эти ZIP-файлы маскировались под счета-фактуры или законные налоговые заявления, чем затрудняли обнаружение.
Первоначальные загрузчики содержали отладочную информацию и распаковывались во время выполнения. Они использовали методы дополнительной загрузки библиотек DLL, часто скрываясь в машинных средах с помощью функциональности законного программного обеспечения.
Функции FatalRAT и его компоненты
FatalRAT включает в себя ряд функций, таких как:
- Регистрация нажатий клавиш.
- Сбор системной информации.
- Обеспечение скрытности путем изменений в реестре и манипуляций с компонентами Windows.
Важным компонентом является Fangao.dll, который управляет основной полезной нагрузкой. Он подключается к Интернету для оценки системных проверок, обеспечивая постоянство и скрытность во время своих действий.
Анализ и рекомендации
Анализ показал, что работа вредоносной программы в значительной степени зависит от данных конфигурации одного из ее модулей. FatalRAT использует метод XOR-дешифрования для получения зашифрованных настроек через Youdao Cloud Notes, что создает угрозу не только для конфиденциальных данных, но и для операционных технологических систем.
В свете этих угроз, организациям в целевых секторах настоятельно рекомендуется:
- Повысить бдительность.
- Внедрить более сложные методы обнаружения.
- Сосредоточиться на повышении осведомленности сотрудников о киберугрозах.
Данная угроза подчеркивает необходимость проведения упреждающих мер в области кибербезопасности среди промышленных организаций региона, чтобы предотвратить возможные сбои в работе критически важных секторов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
