複数ライセンス割引見積
脅威データベース リモート管理ツール FatalRAT フィッシング攻撃

FatalRAT フィッシング攻撃

リモート管理ツールMezoまで
翻訳内容:
日本語

アジア太平洋 (APAC) 地域の産業組織は、FatalRAT の脅威を拡散することを目的とした高度なフィッシング キャンペーンの標的になっています。サイバー犯罪者によって綿密に計画されたこの活動は、myqcloud や Youdao Cloud Notes などの中国の正規のクラウド サービスを利用して攻撃インフラストラクチャを構築しています。攻撃者は、多段階のペイロード配信システムを展開することで、効果的に検出を回避し、侵入を長引かせています。

重要セクターにおける高価値ターゲット

このキャンペーンは、製造、建設、IT、通信、医療、電力、エネルギー、物流、運輸などの政府機関や主要産業をターゲットにしている。影響を受ける地域は、台湾、マレーシア、中国、日本、タイ、韓国、シンガポール、フィリピン、ベトナム、香港に及ぶ。

最大限の効果を発揮する言語固有のルアー

フィッシングメールの添付ファイルを分析すると、この攻撃は主に中国語を話す個人をターゲットにしていることがわかります。このアプローチは、中国語が主要言語である組織に侵入し、成功の可能性を高めるための計算された取り組みを示唆しています。

FatalRAT の配布方法の進化

FatalRAT は、過去にさまざまな配布方法に関連付けられてきました。以前のキャンペーンでは、偽の Google 広告を利用して脅威を拡散していました。2023 年 9 月、研究者は、Gh0st RAT、 Purple FoxValleyRATなどの他の脅威とともにFatalRATを配布する別のフィッシング キャンペーンを記録しました。

シルバーフォックスAPTへの接続

これらの攻撃の一部は、中国語圏のユーザーや日本の組織を標的にすることで知られる脅威アクターである Silver Fox APT によるものとされています。この関連性は、これらの攻撃の背後にある潜在的な地政学的動機をさらに強調しています。

攻撃の連鎖: フィッシングメールから完全な侵害まで

攻撃は、中国語のファイル名で偽装された ZIP アーカイブを含むフィッシング メールから始まります。このアーカイブを開くと、第 1 段階のローダーが起動し、Youdao Cloud Notes にアクセスして DLL ファイルと FatalRAT コンフィギュレーターを取得します。次に、コンフィギュレーターは別の Youdao Cloud Note にアクセスして構成データを抽出し、同時に疑惑を最小限に抑えるためにおとりファイルを開きます。

ステルスのためのDLLサイドローディングの活用

このキャンペーンの重要な特徴は、感染シーケンスを進めるために DLL サイドローディング技術を使用していることです。第 2 段階の DLL ローダーは、myqcloud.com でホストされているリモート サーバーから FatalRAT ペイロードをダウンロードしてインストールし、偽のエラー メッセージを表示してユーザーを欺きます。正規のバイナリに依存しているため、攻撃チェーンは通常のシステム アクティビティに紛れ込み、検出作業を複雑化します。

高度な回避戦術をプレイ中

FatalRAT は、仮想マシンとサンドボックス環境を認識するように設計されており、実行前に 17 種類のチェックを実行します。チェックが失敗すると、マルウェアは分析を回避するためにシャットダウンします。さらに、rundll32.exe プロセスのすべてのインスタンスを終了し、インストールされているセキュリティ ソリューションの詳細を含むシステム情報を収集してから、コマンド アンド コントロール (C2) サーバーに接続してさらに指示を取得します。

多用途かつ脅威的なツール

FatalRAT には、攻撃者が侵入したデバイスを強力に制御できるようにする広範な機能が備わっています。このトロイの木馬は、キーストロークを記録し、マスター ブート レコード (MBR) を操作し、画面機能を制御し、Google Chrome および Internet Explorer からブラウザー データを削除し、AnyDesk や UltraViewer などのリモート アクセス ツールをインストールし、ファイル操作を実行し、プロキシ接続を有効にし、任意のプロセスを終了できます。

FatalRAT の背後にいる脅威アクターの特定

正確な犯人は特定されていないものの、複数の攻撃キャンペーンに共通する戦術的類似性から、これらの攻撃は共通の起源を持っていることが示唆されています。研究者は、中国語を話す脅威アクターが犯人であると中程度の確信を持って考えています。攻撃サイクル全体を通じて中国語のサービスとインターフェースが一貫して使用されていることも、この説をさらに裏付けています。

全体像: 長期的なサイバースパイ活動のためのツール

FatalRAT の幅広い機能は、サイバー犯罪者に長期にわたる侵入の無限の機会を提供します。ネットワーク全体に拡散し、追加のツールをインストールし、システムを操作し、機密データを盗み出す能力は、執拗な攻撃者にとって手強い武器となります。以前の攻撃との重複と中国語のリソースの繰り返し使用は、スパイ活動とデータ盗難を目的とした組織化されたキャンペーンを示唆しています。

トレンド

Trojan:Win32/UnusualASEP

トロイの木馬
サイバー脅威は進化を続け、より欺瞞的かつ高度になっています。ユーザーは、Trojan:Win32/UnusualASEP などの脅威によってシステムが侵害されるのを防ぐために、警戒を怠ってはなりません。この高度なローダー マルウェアは、欺瞞的な手法を使用してシステムに侵入し、危険なアクティビティを実行することで、追加のサイバー脅威のエントリ ポイントとして機能します。このマルウェアの仕組みを...
インディアナ州のハッカー、3,700万ドルの仮想通貨窃盗で懲役20年の判決スクリーンショット

インディアナ州のハッカー、3,700万ドルの仮想通貨窃盗で懲役20年の判決

コンピュータセキュリティ
サイバー犯罪者は、デジタル匿名性と洗練されたマネーロンダリングの戦術を隠れみのにして、法律を出し抜けると信じ込んでいることが多い。しかし、歴史が繰り返し示しているように、正義は彼らに追いつく。インディアナ州出身の22歳のエヴァン・フレデリック・ライトの事件は、サイバー犯罪は手っ取り早く金儲けできるかもしれないが、その結果はしばしば壊滅的であることを厳しく思い出させる。 サイバー強盗の展開 ラ...

配列エンジン

Mac マルウェア, アドウェア, 望ましくない可能性のあるプログラム
Mac デバイスのセキュリティは、そのパフォーマンスと同じくらい重要です。残念ながら、潜在的に不審なプログラム (PUP) を含む多くの侵入型アプリケーションは、積極的な広告戦略、データ追跡、望ましくない変更を行うことで、ユーザーにリスクをもたらします。そのような侵入型アプリの 1 つが ArrayEngine です。これは、サイバーセキュリティの専門家によってAdLoadファミリーのアドウ...

最も見られました

Discord 灰色の画面で立ち往生

問題
71,494
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...

「プリンタドライバが利用できません」エラーを修正する方法

問題
63,799
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
62,325
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...