По данным Kaspersky ICS CERT, преступники разработали сложную многоэтапную систему доставки вредоносного ПО, позволяющую обходить защитные механизмы. Для доставки вредоносного кода злоумышленники использовали облачные сервисы, такие как платформа myqcloud и Youdao Cloud Notes.
Жертвами уже стали государственные учреждения и предприятия в сфере производства, строительства, информационных технологий, здравоохранения, энергетики и логистики. В списке затронутых стран — Тайвань, Малайзия, Китай, Япония, Таиланд, Южная Корея, Сингапур, Филиппины, Вьетнам и Гонконг.
Атака начинается с фишингового письма с ZIP-архивом. При открытии файла запускается первый загрузчик, который обращается к облачному сервису для скачивания DLL-библиотеки и конфигуратора FatalRAT. Последний загружает дополнительные данные из облачного сервиса и открывает ложный файл, чтобы жертва не заподозрила неладное.
Основной механизм заражения — подмена DLL-библиотек, позволяющая маскировать вредоносное ПО под легитимные процессы Windows. После успешного выполнения цепочки атакующее ПО загружает FatalRAT с сервера «myqcloud[.]com», скрывая свои следы с помощью поддельного сообщения об ошибке.
ВПО FatalRAT наносит критичный ущерб при попадании на пользовательские устройства. В перечне его функционала: кейлоггер, контроль экрана, удаление пользовательских данных, загрузка удалённого ПО (например, AnyDesk и UltraViewer), файловые операции, управление прокси-сервером и принудительное завершение процессов.
«Для недопущения негативного воздействия со стороны вредоносного ПО важно обеспечить комплексную периметральную защиту инфраструктуры. Как отмечается, многофункциональное ВПО может мимикрировать под легитимные процессы Windows и завершать свою работу при обнаружении анализа собственного исходного кода. В соответствии с этой проблематикой, помимо внедрения СЗИ-решений и запуска курсов повышения осведомлённости сотрудников от фишинговых атак, крайне важно обеспечить мониторинг подозрительной сетевой активности и блокировать загрузки из ненадёжных источников. Меры митигации таких угроз успешно применяются в GSOC. Мониторинг аномальных событий осуществляется аналитиками с экспертизой в области форензики, расследования инцидентов и проактивной разведки угроз», — говорит эксперт компании «Газинформсервис» Ирина Дмитриева.
