Attaques de phishing FatalRAT
Les entreprises industrielles de la région Asie-Pacifique (APAC) sont devenues la cible d'une campagne de phishing sophistiquée visant à diffuser la menace FatalRAT. L'opération, méticuleusement orchestrée par des cybercriminels, s'appuie sur des services cloud chinois légitimes, tels que myqcloud et Youdao Cloud Notes, pour faciliter son infrastructure d'attaque. Les attaquants échappent efficacement à la détection et prolongent leur intrusion en déployant un système de livraison de charge utile en plusieurs étapes.
Table des matières
Des cibles à forte valeur ajoutée dans des secteurs critiques
La campagne cible les entités gouvernementales et les principales industries, notamment l'industrie manufacturière, la construction, l'informatique, les télécommunications, la santé, l'énergie, la logistique et les transports. La liste des régions concernées comprend Taïwan, la Malaisie, la Chine, le Japon, la Thaïlande, la Corée du Sud, Singapour, les Philippines, le Vietnam et Hong Kong.
Des leurres spécifiques à la langue pour un impact maximal
L'analyse des pièces jointes des e-mails de phishing indique que la campagne cible principalement les personnes parlant chinois. Cette approche suggère un effort calculé pour pénétrer dans des organisations où le mandarin est la langue dominante, ce qui garantit une plus grande probabilité de succès.
L’évolution des méthodes de distribution de FatalRAT
FatalRAT a été associé à diverses méthodes de distribution dans le passé. Les campagnes précédentes utilisaient de fausses publicités Google pour diffuser la menace. En septembre 2023, des chercheurs ont documenté une autre campagne de phishing diffusant FatalRAT aux côtés d'autres menaces telles que Gh0st RAT, Purple Fox et ValleyRAT .
Connexions avec l’APT Silver Fox
Certaines de ces campagnes ont été attribuées à l'APT Silver Fox, un acteur malveillant connu pour cibler les utilisateurs sinophones et les organisations japonaises. Ce lien souligne encore davantage les motivations géopolitiques potentielles derrière ces attaques.
La chaîne d’attaque : du courrier électronique de phishing à la compromission totale
L'attaque commence par un e-mail de phishing contenant une archive ZIP déguisée avec un nom de fichier en chinois. Une fois ouverte, cette archive lance un chargeur de première étape qui contacte Youdao Cloud Notes pour récupérer un fichier DLL et un configurateur FatalRAT. Le configurateur, à son tour, accède à une autre note Youdao Cloud pour extraire les données de configuration tout en ouvrant simultanément un fichier leurre pour minimiser les soupçons.
Exploiter le chargement latéral des DLL pour la furtivité
L'une des caractéristiques essentielles de cette campagne est l'utilisation de techniques de chargement latéral de DLL pour faire avancer la séquence d'infection. Le chargeur de DLL de deuxième étape télécharge et installe la charge utile FatalRAT à partir d'un serveur distant hébergé sur myqcloud.com tout en affichant un faux message d'erreur pour tromper les utilisateurs. Le recours à des binaires légitimes permet à la chaîne d'attaque de se fondre dans l'activité normale du système, ce qui complique les efforts de détection.
Tactiques d’évasion avancées en jeu
FatalRAT est conçu pour reconnaître les environnements de machines virtuelles et sandbox, en effectuant 17 vérifications différentes avant de s'exécuter. Si l'une des vérifications échoue, le malware s'arrête pour éviter l'analyse. De plus, il met fin à toutes les instances du processus rundll32.exe et collecte des informations système, notamment des détails sur les solutions de sécurité installées, avant de se connecter à son serveur de commande et de contrôle (C2) pour obtenir des instructions supplémentaires.
Un outil polyvalent et menaçant
FatalRAT est doté de fonctionnalités étendues qui confèrent aux attaquants un contrôle significatif sur les appareils compromis. Le cheval de Troie peut enregistrer les frappes au clavier, manipuler le Master Boot Record (MBR), contrôler les fonctions de l'écran, supprimer les données du navigateur de Google Chrome et d'Internet Explorer, installer des outils d'accès à distance comme AnyDesk et UltraViewer, exécuter des opérations sur les fichiers, activer les connexions proxy et mettre fin à des processus arbitraires.
Identifier l’acteur de la menace derrière FatalRAT
Bien que les auteurs exacts restent inconnus, des similitudes tactiques entre les différentes campagnes suggèrent que ces attaques ont une origine commune. Les chercheurs estiment, avec un degré de confiance moyen, qu'un acteur malveillant parlant chinois en est responsable. L'utilisation constante de services et d'interfaces en chinois tout au long du cycle d'attaque étaye cette théorie.
Une vue d’ensemble : un outil pour le cyberespionnage à long terme
Les nombreuses fonctionnalités de FatalRAT offrent aux cybercriminels des possibilités infinies d'infiltration à long terme. Sa capacité à se propager sur les réseaux, à installer des outils supplémentaires, à manipuler les systèmes et à exfiltrer des données confidentielles en fait une arme redoutable entre les mains d'attaquants persistants. Le chevauchement avec les attaques précédentes et l'utilisation récurrente de ressources en chinois suggèrent une campagne bien organisée visant à l'espionnage et au vol de données.
