Nhiều tổ chức, doanh nghiệp ở khu vực Châu Á – Thái Bình
Dương (APAC) đã trở thành mục tiêu của các cuộc tấn công giả mạo nhằm phát tán
một loại phần mềm độc hại có tên gọi là FatalRAT.

Kaspersky ICS CERT cho biết: “Mối đe dọa này được dàn dựng bởi những kẻ tấn công sử dụng mạng phân phối nội dung (Content Delivery Network) đám mây hợp pháp của Trung Quốc là myqcloud và dịch vụ Youdao Cloud”.
Youdao là một công cụ tìm kiếm của Trung Quốc và Youdao Cloud Notes, trước đây gọi là Dao Notes, là một cơ sở dữ liệu trực tuyến được thiết kế dành cho người dùng cá nhân và nhóm người dùng, ra mắt vào ngày 28/6/2011. Công cụ này hỗ trợ nhiều nền tảng, bao gồm các ứng dụng người dùng cho máy tính cá nhân (Windows và Mac), thiết bị di động (Android và IOS) và web. Nhờ giao diện thân thiện với người dùng và khả năng tương thích đa nền tảng rộng rãi, nó đã thu hút được đáng kể sự chú ý từ các kẻ tấn công nói tiếng Trung Quốc, những kẻ này ngày càng sử dụng Youdao Cloud Notes thường xuyên cho các hành vi độc hại.
“Những kẻ tấn công đã sử dụng một framework phân phối payload nhiều giai đoạn tinh vi để tránh bị phát hiện”. Kaspersky ICS CERT gọi chiến dịch này là SalmonSlalom.
Cuộc tấn công này tập trung vào các cơ quan chính phủ và tổ chức doanh nghiệp, đặc biệt là sản xuất, xây dựng, công nghệ thông tin, viễn thông, chăm sóc sức khỏe, điện và năng lượng, logistics tại Đài Loan, Malaysia, Trung Quốc, Nhật Bản, Thái Lan, Hàn Quốc, Singapore, Philippines, Việt Nam và Hồng Kông.
Các tệp đính kèm sẽ được gắn vào tin nhắn email cho thấy chiến dịch lừa đảo này được thiết kế để nhắm tới những người nói tiếng Trung Quốc.
Cần lưu ý rằng, các cuộc tấn công FatalRAT trước đây đã tận dụng Google Ads giả mạo như một vector phân phối (distribution vector). Vào tháng 9/2023, hãng bảo mật Proofpoint đã ghi nhận một chiến dịch lừa đảo qua email khác phát tán nhiều phần mềm độc hại khác nhau như FatalRAT, Gh0st RAT, Purple Fox và ValleyRAT. Những nạn nhân chủ yếu là những người nói tiếng Trung Quốc và các tổ chức Nhật Bản.
Điểm khởi đầu của chuỗi tấn công mới nhất là một email lừa đảo có chứa một tệp ZIP với tên tệp viết bằng tiếng Trung Quốc, khi được khởi chạy, nó sẽ khởi chạy trình tải giai đoạn đầu tiên (first-stage loader), sau đó sẽ gửi yêu cầu đến Youdao Cloud Notes để truy xuất tệp DLL và bộ cấu hình FatalRAT.
Về phần mình, mô-đun cấu hình sẽ tải xuống nội dung của một ghi chú khác từ note[.]youdao[.]com để truy cập thông tin cấu hình, đồng thời cũng được thiết kế để mở một file mồi nhử nhằm tránh việc gây nghi ngờ.
Mặt khác, DLL là trình tải giai đoạn thứ hai (second-stage loader) có trách nhiệm tải xuống và cài đặt phần mềm FatalRAT từ máy chủ (“myqcloud[.]com”) được chỉ định trong cấu hình, cũng như hiển thị thông báo lỗi giả về sự cố khi chạy ứng dụng.
Một dấu hiệu quan trọng của chiến dịch tấn công này bao gồm việc sử dụng kỹ thuật DLL side-loading để thúc đẩy quá trình tự lây nhiễm và tải xuống phần mềm độc hại FatalRAT.

“Tác nhân đe dọa tận dụng chức năng của các tệp nhị phân hợp pháp để khiến chuỗi sự kiện trông giống như các tiến trình thông thường. Những kẻ tấn công cũng sử dụng kỹ thuật DLL side-loading để ẩn sự tồn tại của phần mềm độc hại trong bộ nhớ tiến trình”, Kaspersky cho biết.
FatalRAT thực hiện 17 lần kiểm tra để tìm dấu hiệu cho thấy phần mềm độc hại thực thi trong môi trường máy ảo hoặc sandbox. Nếu bất kỳ lần kiểm tra nào không thành công, phần mềm độc hại sẽ ngừng thực thi. Phần mềm độc hại cũng chấm dứt mọi phiên của tiến trình rundll32[.]exe và thu thập thông tin về hệ thống và các giải pháp bảo mật khác nhau đã được cài đặt trước khi chờ chỉ thị tiếp theo từ máy chủ điều khiển và ra lệnh (C2).
FatalRAT là một trojan có nhiều tính năng được trang bị để ghi lại các lần nhấn phím, làm hỏng Master Boot Record (MBR), bật/tắt màn hình, tìm kiếm và xóa dữ liệu người dùng trong các trình duyệt như Google Chrome và Internet Explorer, tải xuống phần mềm bổ sung như AnyDesk và UltraViewer, thực hiện các thao tác trên tệp, khởi động/dừng proxy và chấm dứt các tiến trình tùy ý.
Các nhà nghiên cứu cho biết: “Chức năng của FatalRAT giúp kẻ tấn công có khả năng gần như không bị giới hạn để thực hiện một cuộc tấn công: lây lan qua mạng, cài đặt các công cụ quản trị từ xa, điều khiển thiết bị, đánh cắp và xóa thông tin bí mật. Việc sử dụng các dịch vụ và giao diện bằng tiếng Trung ở nhiều giai đoạn khác nhau của cuộc tấn công, cũng như các bằng chứng gián tiếp khác, cho thấy có thể có một tác nhân nói tiếng Trung tham gia vào vụ tấn công”.
Nguồn: Tạp chí ATTT