تشهد العديد من المنظمات الصناعية في منطقة آسيا والمحيط الهادئ (APAC) موجة من هجمات التصيد الاحتيالي التي تهدف إلى نشر برمجية FatalRAT الضارة.
استخدام خدمات سحابية صينية لنشر البرمجيات الضارة
وفقًا لتقرير صادر عن Kaspersky ICS CERT، فإن المهاجمين استخدموا شبكة توصيل المحتوى (CDN) الصينية myqcloud بالإضافة إلى خدمة Youdao Cloud Notes كجزء من بنيتهم التحتية للهجوم. كما أنهم اعتمدوا على إطار عمل متطور متعدد المراحل لتوصيل الحمولة الضارة مع تفادي أنظمة الكشف الأمني.
أهداف الهجوم: وكالات حكومية وقطاعات صناعية حساسة
استهدفت هذه الحملة الخبيثة عددًا من القطاعات الحيوية، بما في ذلك:
✔ الهيئات الحكومية
✔ التصنيع والبناء
✔ تكنولوجيا المعلومات والاتصالات
✔ الرعاية الصحية والطاقة
✔ الخدمات اللوجستية والنقل
وقد لوحظت هجمات FatalRAT في عدة دول منها تايوان، ماليزيا، الصين، اليابان، تايلاند، كوريا الجنوبية، سنغافورة، الفلبين، فيتنام، وهونغ كونغ، حيث تم تصميم رسائل التصيد لاستهداف المتحدثين باللغة الصينية بشكل خاص.
آلية الهجوم: تحميل متعدد المراحل لتفادي الكشف
تبدأ سلسلة الهجوم برسالة بريد إلكتروني تحتوي على ملف مضغوط (ZIP) باسم صيني، وعند فتحه يتم تنفيذ محمل أولي يقوم بدوره بالاتصال بخدمة Youdao Cloud Notes لاسترداد ملف DLL ومُهيئ FatalRAT.
1️⃣ المرحلة الأولى: يقوم المحمل الأولي بتحميل ملف DLL من Youdao Cloud Notes لتشغيل البرمجية الخبيثة دون إثارة الشكوك.
2️⃣ المرحلة الثانية: يتم تحميل ملف DLL آخر يعمل كحمولة رئيسية، حيث يقوم بتنزيل FatalRAT من خادم على myqcloud[.]com، ويعرض رسالة خطأ مزيفة لإخفاء النشاط المشبوه.
3️⃣ إخفاء التواجد: يتم استخدام تقنية DLL Side-Loading لضمان استمرار وجود البرمجية الضارة داخل العمليات الشرعية، مما يجعل اكتشافها أكثر صعوبة.
4️⃣ تجنب التحليل الأمني: يقوم FatalRAT بتنفيذ 17 اختبارًا للتحقق مما إذا كان يعمل داخل بيئة افتراضية أو صندوق رمل (Sandbox)، وإذا فشل أي اختبار، فإنه يتوقف عن العمل فورًا.
قدرات FatalRAT: حصان طروادة متطور بمهام متعددة
يتمتع FatalRAT بميزات خطيرة تمنح المهاجمين تحكمًا شبه كامل في النظام المصاب، بما في ذلك:
🔹 تسجيل ضغطات المفاتيح وسرقة بيانات المستخدم.
🔹 تعطيل أو تشغيل شاشة الجهاز عن بُعد.
🔹 التلاعب بمتصفحات الإنترنت مثل Google Chrome وInternet Explorer، بما في ذلك حذف بيانات المستخدم.
🔹 تحميل برامج إضافية مثل AnyDesk وUltraViewer لتمكين التحكم عن بُعد.
🔹 تنفيذ عمليات على الملفات وحذف البيانات السرية.
🔹 بدء أو إيقاف تشغيل خادم وكيل (Proxy) وتنفيذ عمليات إنهاء للبرامج المستهدفة.
من يقف وراء هذه الهجمات؟
لم يتم تحديد الجهة المسؤولة عن هذه الهجمات بشكل مؤكد، ولكن الأنماط التشغيلية والتقنيات المستخدمة تتداخل مع هجمات سابقة شنتها جهات ناطقة باللغة الصينية. وتشير Kaspersky بثقة متوسطة إلى أن فاعل تهديد صيني قد يكون وراء الحملة.
تهديد متزايد يستهدف قطاعات استراتيجية
🔴 تشكل هجمات FatalRAT تهديدًا متزايدًا للوكالات الحكومية والقطاعات الحيوية في آسيا والمحيط الهادئ، حيث تستخدم بنية تحتية صينية وخدمات سحابية مشروعة لإخفاء أنشطتها الخبيثة.
🛡 التوصيات الأمنية: تحتاج المنظمات المستهدفة إلى تعزيز أنظمة الأمن السيبراني من خلال:
✔ الحذر من رسائل البريد الإلكتروني المشبوهة، خاصة تلك التي تحتوي على مرفقات مضغوطة بامتداد ZIP.
✔ استخدام حلول أمنية متقدمة لاكتشاف سلوكيات البرامج الضارة وليس فقط التوقيعات التقليدية.
✔ تعزيز الوعي الأمني لدى الموظفين حول هجمات التصيد والتحميلات الضارة.
إذا استمر المهاجمون في تطوير تقنيات متقدمة لتفادي الاكتشاف، فسيكون من الضروري أن تطور المؤسسات استراتيجيات دفاعية مرنة وقائمة
