Cảnh báo mã độc FatalRAT tấn công nhằm vào doanh nghiệp tại châu Á - Thái Bình Dương

Mã độc FatalRAT và chiến dịch tấn công có tổ chức

Theo báo cáo từ Công ty Kaspersky ICS CERT, cuộc tấn công lần này được thực hiện bởi một nhóm tin tặc sử dụng nền tảng phân phối nội dung (CDN) myqcloud và dịch vụ ghi chú đám mây Youdao Cloud Notes để triển khai hạ tầng tấn công. Nhờ áp dụng cơ chế phát tán đa tầng tinh vi, các kẻ tấn công có thể qua mặt nhiều hệ thống bảo mật.

Các mục tiêu chính của chiến dịch bao gồm cơ quan chính phủ và doanh nghiệp trong lĩnh vực sản xuất, xây dựng, công nghệ thông tin, viễn thông, y tế, năng lượng, logistics và vận tải quy mô lớn tại Đài Loan, Malaysia, Trung Quốc, Nhật Bản, Thái Lan, Hàn Quốc, Singapore, Philippines, Việt Nam và Hong Kong.

Theo đó, cuộc tấn công sử dụng các email phishing có đính kèm tệp ZIP với tiêu đề bằng tiếng Trung Quốc. Khi người dùng mở tệp này, một bộ tải đầu tiên sẽ kích hoạt và gửi yêu cầu đến Youdao Cloud Notes để tải về tập tin DLL và cấu hình của FatalRAT.

Bộ cấu hình tiếp tục tải về một ghi chú khác trên note.youdao[.]com để lấy thông tin cấu hình. Đồng thời, nó mở một tệp tài liệu giả nhằm đánh lừa nạn nhân, tránh bị nghi ngờ.

Tệp DLL đóng vai trò là bộ tải giai đoạn hai, giúp tải và cài đặt FatalRAT từ máy chủ "myqcloud[.]com", đồng thời hiển thị một thông báo lỗi giả để che giấu hoạt động.

Một trong những kỹ thuật quan trọng mà nhóm tin tặc sử dụng là DLL side-loading, cho phép mã độc chạy ẩn trong tiến trình hợp pháp của hệ thống, giúp duy trì sự tồn tại mà không bị phát hiện.

Cơ chế hoạt động và nguy cơ từ FatalRAT

FatalRAT là một trojan tinh vi với nhiều khả năng nguy hiểm, bao gồm: Ghi lại thao tác bàn phím; Xóa hoặc đánh cắp dữ liệu duyệt web (Google Chrome, Internet Explorer,...); Bật/tắt màn hình, kiểm soát thiết bị từ xa; Cài đặt thêm phần mềm độc hại như AnyDesk, UltraViewer; Thao tác tệp, khởi chạy hoặc dừng proxy, chấm dứt tiến trình bất kỳ; Phá hủy Master Boot Record (MBR), khiến hệ thống không thể khởi động.

Ngoài ra, FatalRAT có đến 17 cơ chế kiểm tra để xác định xem nó có đang chạy trong môi trường ảo hóa hoặc sandbox hay không. Nếu phát hiện dấu hiệu bị phân tích, mã độc sẽ tự động ngừng hoạt động để tránh bị phát hiện.

Hiện chưa có thông tin chính xác về nhóm tin tặc đứng sau cuộc tấn công FatalRAT. Tuy nhiên, các chiến thuật và công cụ sử dụng có nhiều điểm tương đồng với những chiến dịch trước đây, cho thấy khả năng đây là các đợt tấn công liên quan đến nhau.

Kaspersky đánh giá với mức độ tin cậy trung bình rằng nhóm tấn công có nguồn gốc từ một tác nhân nói tiếng Trung Quốc. Điều này được củng cố bởi việc sử dụng liên tục các dịch vụ và giao diện tiếng Trung trong nhiều giai đoạn của cuộc tấn công.

Trước tình hình trên, các chuyên gia đã đưa ra khuyến cáo bảo mật dành cho doanh nghiệp như:

 Nâng cao nhận thức bảo mật: Không mở email và tệp đính kèm đáng ngờ, đặc biệt là từ các nguồn không xác định.

Tăng cường kiểm soát mạng: Giám sát các truy vấn đến myqcloud[.]com và note.youdao[.]com để phát hiện dấu hiệu nhiễm mã độc.

Cập nhật hệ thống và phần mềm bảo mật: Đảm bảo phần mềm diệt virus luôn được cập nhật để phát hiện các mối đe dọa mới nhất.

Áp dụng chính sách Zero Trust: Hạn chế quyền truy cập và kiểm soát chặt chẽ các tệp thực thi không xác định trong mạng nội bộ.

Giám sát hành vi bất thường: Đặc biệt là các tiến trình liên quan đến rundll32.exe và các hoạt động tải xuống không rõ nguồn gốc.

Chiến dịch phishing FatalRAT đang đặt ra mối đe dọa nghiêm trọng đối với doanh nghiệp tại khu vực APAC, trong đó có Việt Nam. Việc lợi dụng hạ tầng đám mây Trung Quốc để phát tán mã độc khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn. Các tổ chức cần nâng cao cảnh giác, triển khai các biện pháp bảo mật toàn diện để bảo vệ hệ thống khỏi nguy cơ tấn công mạng ngày càng tinh vi.

Duy Trinh (theo The Hacker News)