في الآونة الأخيرة، شهدت منطقة آسيا والمحيط الهادئ (APAC) سلسلة من الهجمات السيبرانية التي تستهدف مؤسسات صناعية وحكومية باستخدام البرمجيات الخبيثة المعروفة باسم (FatalRAT). هذه الحملة الخبيثة تسلط الضوء على التحديات المتزايدة التي تواجهها المؤسسات في التصدي للهجمات المتطورة التي تستغل البنية التحتية السحابية الشرعية في الصين.

تحليل الهجوم وأبعاده التقنية

أشارت تقارير من Kaspersky ICS CERT إلى أن المهاجمين استخدموا شبكة توصيل المحتوى (CDN) الخاصة بشركة (myqcloud) وخدمة (Youdao Cloud Notes) كجزء من البنية التحتية للهجوم. تم تنفيذ الهجوم عبر إطار تسليم حمولة متعدد المراحل لضمان تجنب الكشف.

استهدفت هذه الأنشطة وكالات حكومية ومنظمات صناعية، بما في ذلك قطاعات التصنيع والبناء وتكنولوجيا المعلومات والاتصالات والرعاية الصحية والطاقة والنقل في تايوان وماليزيا والصين واليابان وتايلاند وكوريا الجنوبية وسنغافورة والفلبين وفيتنام وهونغ كونغ.

البيئة المستهدفة والطرق المستخدمة

تُظهر المرفقات الجذابة في رسائل البريد الإلكتروني أن الحملة الخبيثة مصممة لاستهداف الأفراد الناطقين باللغة الصينية. وقد استُخدمت سابقًا إعلانات (Google) المزيفة كوسيلة توزيع لحملات (FatalRAT) في سبتمبر 2023، وفقًا لتقرير من Proofpoint.

بدأت سلسلة الهجوم الأخيرة برسالة بريد إلكتروني تحتوي على أرشيف (ZIP) باسم ملف باللغة الصينية، والذي عند تشغيله، يطلق المرحلة الأولى من التحميل التي تطلب ملف DLL ومُكوِّن (FatalRAT) من خدمة (Youdao Cloud Notes).

التداعيات الأمنية والتهديدات المحتملة

تتضمن الحملة استخدام تقنيات التحميل الجانبي لـ DLL لتقدم تسلسل العدوى متعدد المراحل وتحميل البرمجيات الخبيثة (FatalRAT). تم تصميم البرمجية الخبيثة للتحقق من 17 مؤشرًا لمعرفة ما إذا كانت تعمل في بيئة افتراضية أو صندوق رمل (Sandbox)، وفي حال فشل أي من هذه الفحوصات، تتوقف البرمجية عن العمل.

(FatalRAT) قادر على تسجيل ضغطات المفاتيح، إتلاف سجل الإقلاع الرئيسي (MBR)، تشغيل/إيقاف الشاشة، البحث وحذف بيانات المستخدم في المتصفحات مثل (Google Chrome) و(Internet Explorer)، تنزيل برامج إضافية مثل (AnyDesk) و(UltraViewer)، تنفيذ عمليات الملفات، وتشغيل/إيقاف الوكيل وإنهاء العمليات العشوائية.

أفكار الخبراء والاتجاهات الأحدث

تشير التقارير إلى أن الهجمات تستهدف بشكل رئيسي الناطقين باللغة الصينية والمنظمات اليابانية. وقد تم نسب بعض الأنشطة إلى جهة تهديد تُعرف باسم (Silver Fox APT). تعكس هذه الأنشطة سلسلة من الهجمات المختلفة التي ترتبط ببعضها البعض بطريقة أو بأخرى، مع تقييم كاسبرسكي للجهة الفاعلة بأنها ناطقة باللغة الصينية.

تعطي (FatalRAT) للمهاجم إمكانيات شبه غير محدودة لتطوير الهجوم: الانتشار عبر الشبكة، تثبيت أدوات الإدارة عن بعد، التلاعب بالأجهزة، سرقة وحذف المعلومات السرية. إن الاستخدام المستمر للخدمات والواجهات باللغة الصينية في مراحل مختلفة من الهجوم يشير إلى تورط جهة ناطقة باللغة الصينية.

دعوة للنقاش

ما هي الإجراءات التي يمكن للمؤسسات اتخاذها لتحسين دفاعاتها ضد مثل هذه الهجمات السيبرانية المتقدمة؟ نرحب بتعليقاتكم وآرائكم في هذا الشأن.

للمزيد من المحتوى الحصري، تابعونا على X (Twitter) وFacebook.