亞太地區(qū)的多家工業(yè)組織已成為釣魚攻擊的目標(biāo)，這些攻擊旨在傳播一種名為致命RAT（FatalRAT）的已知惡意軟件。卡巴斯基工業(yè)控制系統(tǒng)應(yīng)急響應(yīng)中心在一份周一發(fā)布的報(bào)告中表示：“攻擊者利用合法的中國云內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）myqcloud和網(wǎng)易有道云筆記服務(wù)作為其攻擊基礎(chǔ)設(shè)施的一部分?！眻?bào)告還指出：“攻擊者采用了一種復(fù)雜的多階段載荷遞送框架，以確保逃避檢測?！?/p>

這次攻擊的主要目標(biāo)是政府機(jī)構(gòu)和工業(yè)組織，特別是制造業(yè)、建筑業(yè)、信息技術(shù)、電信、醫(yī)療、電力與能源、大規(guī)模物流和運(yùn)輸?shù)刃袠I(yè)，涉及中國臺(tái)灣、馬來西亞、中國大陸、日本、泰國、韓國、新加坡、菲律賓、越南和中國香港等地區(qū)。郵件中使用的誘餌附件表明，此次釣魚攻擊主要針對(duì)中文用戶。

值得注意的是，致命RAT的活動(dòng)曾利用虛假的谷歌廣告作為分發(fā)渠道。2023年9月，Proofpoint公司記錄到另一起以電子郵件為媒介的釣魚攻擊，傳播了多種惡意軟件家族，包括致命RAT、Gh0st RAT、紫狐（Purple Fox）和ValleyRAT。這兩次入侵活動(dòng)的有趣之處在于，它們主要針對(duì)中文用戶和日本組織。其中部分活動(dòng)被歸因于一個(gè)名為銀狐APT（Silver Fox APT）的威脅組織。

攻擊鏈與惡意軟件加載

最新攻擊鏈的起點(diǎn)是一封包含中文文件名ZIP壓縮包的釣魚郵件。當(dāng)用戶打開該壓縮包后，會(huì)啟動(dòng)第一階段加載程序，隨后向有道云筆記發(fā)送請(qǐng)求，以獲取動(dòng)態(tài)鏈接庫（DLL）文件和致命RAT配置器。配置器模塊則從note.youdao[.]com下載另一條筆記的內(nèi)容，以訪問配置信息，同時(shí)打開一個(gè)誘餌文件以避免引起懷疑。

另一方面，DLL是第二階段加載程序，負(fù)責(zé)從配置文件中指定的服務(wù)器（“myqcloud[.]com”）下載并安裝致命RAT載荷，同時(shí)顯示一個(gè)關(guān)于應(yīng)用程序運(yùn)行問題的虛假錯(cuò)誤信息。此次攻擊的一個(gè)重要特點(diǎn)是使用了DLL側(cè)加載技術(shù)，以推進(jìn)多階段感染序列并加載致命RAT惡意軟件。

卡巴斯基表示：“威脅行為者采用了一種黑白結(jié)合的方法，利用合法二進(jìn)制文件的功能，使事件鏈看起來像正?；顒?dòng)。攻擊者還使用了DLL側(cè)加載技術(shù)，將惡意軟件的持久性隱藏在合法進(jìn)程內(nèi)存中?！敝旅黂AT還執(zhí)行了17項(xiàng)檢查，以確定惡意軟件是否在虛擬機(jī)或沙盒環(huán)境中運(yùn)行。如果其中任何一項(xiàng)檢查失敗，惡意軟件將停止執(zhí)行。

惡意軟件功能與幕后黑手

致命RAT在等待命令與控制（C2）服務(wù)器的進(jìn)一步指令之前，會(huì)終止所有rundll32.exe進(jìn)程實(shí)例，并收集系統(tǒng)信息和已安裝的各種安全解決方案的相關(guān)數(shù)據(jù)。致命RAT是一款功能強(qiáng)大的木馬，能夠記錄鍵盤輸入、損壞主引導(dǎo)記錄（MBR）、打開/關(guān)閉屏幕、在Google Chrome和Internet Explorer等瀏覽器中搜索和刪除用戶數(shù)據(jù)、下載AnyDesk和UltraViewer等附加軟件、執(zhí)行文件操作、啟動(dòng)/停止代理，以及終止任意進(jìn)程。

目前尚不清楚是誰在背后操縱使用致命RAT的攻擊，但戰(zhàn)術(shù)和工具與其他活動(dòng)的重疊表明，“它們都反映了某種程度上相關(guān)的不同系列攻擊”?？ò退够灾械戎眯哦仍u(píng)估，背后可能是一個(gè)中文威脅行為者。研究人員表示：“致命RAT的功能為攻擊者提供了幾乎無限的攻擊開發(fā)可能性：通過網(wǎng)絡(luò)傳播、安裝遠(yuǎn)程管理工具、操縱設(shè)備、竊取和刪除機(jī)密信息?！?/p>

“在攻擊的各個(gè)階段持續(xù)使用中文服務(wù)和界面，以及其他間接證據(jù)，表明可能有一個(gè)中文威脅行為者參與其中?！?/p>