FatalRAT: новый троян поражает энергетику, здравоохранение и логистику

Киберпреступники атаковали промышленные организации в Азиатско-Тихоокеанском регионе (АТР) с помощью кампании фишинговых атак, направленных на распространение опасного вредоносного ПО FatalRAT.

Жертвами стали государственные учреждения и предприятия в сфере производства, строительства, информационных технологий, телекоммуникаций, здравоохранения, энергетики и логистики. В списке затронутых стран — Тайвань, Малайзия, Китай, Япония, Таиланд, Южная Корея, Сингапур, Филиппины, Вьетнам и Гонконг.

Злоумышленники использовали облачные китайские сервисы, включая платформу myqcloud и Youdao Cloud Notes, для доставки вредоносного кода. По данным Kaspersky ICS CERT, преступники разработали сложную многоэтапную систему доставки вредоносного ПО, позволяющую обходить защитные механизмы.

Атака начинается с фишингового письма с ZIP-архивом, название которого написано на китайском языке. При открытии файла запускается первый загрузчик, который обращается к Youdao Cloud Notes для скачивания DLL-библиотеки и конфигуратора FatalRAT. Последний загружает дополнительные данные из облачного сервиса и открывает ложный файл, чтобы жертва не заподозрила неладное.

Основной механизм заражения — подмена DLL-библиотек, позволяющая маскировать вредоносное ПО под легитимные процессы Windows. После успешного выполнения цепочки атакующее ПО загружает FatalRAT с сервера «myqcloud[.]com», скрывая свои следы с помощью поддельного сообщения об ошибке.

FatalRAT обладает широким спектром функций: кейлоггер, манипуляции с загрузочным MBR-сектором, контроль экрана, удаление пользовательских данных в браузерах, загрузка удалённого ПО (например, AnyDesk и UltraViewer), файловые операции, управление прокси-сервером и принудительное завершение процессов. Кроме того, зловред проводит 17 проверок на виртуальные машины и песочницы, прекращая выполнение при обнаружении анализа в изолированной среде.

Ранее кампании с использованием FatalRAT распространялись через поддельные Google Ads. В сентябре 2023 года специалисты Proofpoint зафиксировали подобные атаки, в ходе которых распространялись также Gh0st RAT, Purple Fox и ValleyRAT. Часть этих операций связывают с группировкой Silver Fox, специализирующейся на атаках против китаеязычных и японских организаций.

Эксперты полагают, что за организацией этих атак так же стоит китаеязычная группа. В пользу этой гипотезы говорит использование китайских облачных сервисов и интерфейсов на всех этапах заражения.

Специалисты предупреждают: FatalRAT представляет серьёзную угрозу, так как предоставляет злоумышленникам полный контроль над заражёнными устройствами. Компании рекомендуется усилить защиту от фишинговых атак, уделяя особое внимание загрузкам из ненадёжных источников и анализу подозрительной сетевой активности.