TAIWAN / MALAYSIA / CHINA / JAPAN / SÜDKOREA / MÜNCHEN (IT BOLTWISE) – In einer neuen Welle von Cyberangriffen sind verschiedene Industrien im asiatisch-pazifischen Raum ins Visier geraten. Diese Angriffe nutzen die bekannte Malware FatalRAT, um sensible Daten zu stehlen und Systeme zu kompromittieren.
- Die besten Bücher rund um KI & Robotik
präsentiert von Amazon! - Unsere täglichen KI-News von IT Boltwise® bei LinkedIn abonnieren!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facy oder Insta als Fan markieren und abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
Die jüngsten Cyberangriffe auf Industrien im asiatisch-pazifischen Raum zeigen erneut die zunehmende Raffinesse von Bedrohungsakteuren, die legitime Cloud-Dienste für ihre Zwecke missbrauchen. Insbesondere die Nutzung chinesischer Cloud-Dienste wie myqcloud und Youdao Cloud Notes als Teil der Angriffsinfrastruktur hebt die Komplexität dieser Angriffe hervor. Diese Dienste werden verwendet, um mehrstufige Schadsoftware zu verbreiten, die darauf abzielt, die Erkennung durch Sicherheitslösungen zu umgehen.
Die Angriffe richten sich gegen eine Vielzahl von Sektoren, darunter Regierungsbehörden, Fertigung, Bauwesen, Informationstechnologie, Telekommunikation, Gesundheitswesen, Energie und Logistik. Besonders betroffen sind Länder wie Taiwan, Malaysia, China, Japan, Thailand, Südkorea, Singapur, die Philippinen, Vietnam und Hongkong. Die Angreifer nutzen E-Mail-Phishing-Kampagnen mit chinesischsprachigen Dateinamen, um ihre Ziele zu erreichen.
Interessanterweise haben frühere Kampagnen, die FatalRAT verbreiteten, auch gefälschte Google-Anzeigen als Verbreitungsweg genutzt. Diese Angriffe wurden von Sicherheitsforschern dokumentiert und zeigen, dass die Bedrohungsakteure gezielt chinesischsprachige Personen und japanische Organisationen ins Visier nehmen. Einige dieser Aktivitäten werden einer Bedrohungsgruppe zugeschrieben, die als Silver Fox APT bekannt ist.
Der Angriff beginnt typischerweise mit einer Phishing-E-Mail, die ein ZIP-Archiv mit einem chinesischsprachigen Dateinamen enthält. Wird diese Datei geöffnet, startet ein erster Loader, der eine Anfrage an Youdao Cloud Notes sendet, um eine DLL-Datei und einen FatalRAT-Konfigurator abzurufen. Der Konfigurator lädt dann weitere Inhalte von note.youdao[.]com herunter, um die Konfigurationsinformationen zu erhalten. Diese mehrstufige Vorgehensweise soll die Erkennung durch Sicherheitslösungen erschweren.
Ein bemerkenswertes Merkmal dieser Kampagne ist die Verwendung von DLL-Sideloading-Techniken, um die mehrstufige Infektionskette voranzutreiben und die FatalRAT-Malware zu laden. Diese Technik nutzt die Funktionalität legitimer Binärdateien, um die Aktivitäten wie normale Prozesse erscheinen zu lassen. Die Malware führt zudem 17 Prüfungen durch, um festzustellen, ob sie in einer virtuellen Maschine oder einer Sandbox-Umgebung ausgeführt wird. Bei einem negativen Ergebnis stoppt die Ausführung.
FatalRAT ist ein funktionsreicher Trojaner, der in der Lage ist, Tastenanschläge zu protokollieren, den Master Boot Record zu beschädigen, Bildschirme ein- und auszuschalten, Benutzerdaten in Browsern wie Google Chrome und Internet Explorer zu durchsuchen und zu löschen, zusätzliche Software wie AnyDesk und UltraViewer herunterzuladen, Dateioperationen durchzuführen und Proxy-Server zu starten oder zu stoppen. Die Identität der hinter diesen Angriffen stehenden Akteure ist derzeit unbekannt, jedoch deuten taktische Überschneidungen mit anderen Kampagnen darauf hin, dass es sich um einen chinesischsprachigen Bedrohungsakteur handeln könnte.
Die Funktionalität von FatalRAT bietet Angreifern nahezu unbegrenzte Möglichkeiten zur Weiterentwicklung eines Angriffs: von der Verbreitung im Netzwerk über die Installation von Remote-Administrationstools bis hin zur Manipulation von Geräten und dem Diebstahl oder der Löschung vertraulicher Informationen. Die konsequente Nutzung chinesischer Dienste und Schnittstellen in verschiedenen Phasen des Angriffs sowie andere indirekte Hinweise deuten darauf hin, dass ein chinesischsprachiger Akteur beteiligt sein könnte.
Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Phishing-Angriffe mit FatalRAT zielen auf APAC-Industrien" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.