新闻中心
——“因为我们的存在,让您的邮件系统更有价值!”
警惕:致命RAT钓鱼攻击瞄准使用中国云服务的亚太行业
亚太地区的多家工业组织已成为钓鱼攻击的目标,这些攻击旨在传播一种名为致命RAT(FatalRAT)的已知恶意软件。卡巴斯基工业控制系统应急响应中心在一份周一发布的报告中表示:“攻击者利用合法的中国云内容分发网络(CDN)myqcloud和网易有道云笔记服务作为其攻击基础设施的一部分。”报告还指出:“攻击者采用了一种复杂的多阶段载荷递送框架,以确保逃避检测。”
这些攻击主要针对马来西亚、中国、日本、泰国、韩国、新加坡、菲律宾、越南的政府机构和工业组织,特别是制造业、建筑业、信息技术、电信、医疗保健、电力和能源以及大规模物流和运输行业。
值得注意的是,FatalRAT的攻击活动之前曾利用虚假的Google广告作为传播媒介。
在2023年9月,Proofpoint记录了另一种电子邮件钓鱼活动,传播了包括FatalRAT、Gh0st RAT、Purple Fox和ValleyRAT在内的多种恶意软件家族。
最新攻击链的起点是一封包含中文文件名ZIP压缩包的钓鱼邮件。当用户打开该压缩包后,会启动第一阶段加载程序,随后向有道云笔记发送请求,以获取动态链接库(DLL)文件和致命RAT配置器。配置器模块则从note.youdao[.]com下载另一条笔记的内容,以访问配置信息,同时打开一个诱饵文件以避免引起怀疑。
另一方面,DLL是第二阶段加载程序,负责从配置文件中指定的服务器(“myqcloud[.]com”)下载并安装致命RAT载荷,同时显示一个关于应用程序运行问题的虚假错误信息。此次攻击的一个重要特点是使用了DLL侧加载技术,以推进多阶段感染序列并加载致命RAT恶意软件。
卡巴斯基表示,”攻击者使用黑白手法,利用合法二进制文件的功能,使事件链看起来像正常活动。”“攻击者还使用了DLL侧加载技术,以隐藏恶意软件在合法进程内存中的持久性。”
FatalRAT是一种功能丰富的木马,能够记录键盘输入、破坏主引导记录(MBR)、开关屏幕、搜索和删除浏览器(如Google Chrome和Internet Explorer)中的用户数据、下载其他软件(如AnyDesk和UltraViewer)、执行文件操作、启动/停止代理,并终止任意进程。目前尚不清楚使用FatalRAT进行攻击的幕后黑手是谁。
来源网络,如有侵权请联系删除
