亞太地區的多家工業組織已成為釣魚攻擊的目標，這些攻擊旨在傳播一種名為致命RAT（FatalRAT）的已知惡意軟件。卡巴斯基工業控制系統應急響應中心在一份周一發布的報告中表示：“攻擊者利用合法的中國云內容分發網絡（CDN）myqcloud和網易有道云筆記服務作為其攻擊基礎設施的一部分。”報告還指出：“攻擊者采用了一種復雜的多階段載荷遞送框架，以確保逃避檢測。”

這次攻擊的主要目標是政府機構和工業組織，特別是制造業、建筑業、信息技術、電信、醫療、電力與能源、大規模物流和運輸等行業，涉及中國臺灣、馬來西亞、中國大陸、日本、泰國、韓國、新加坡、菲律賓、越南和中國香港等地區。郵件中使用的誘餌附件表明，此次釣魚攻擊主要針對中文用戶。

值得注意的是，致命RAT的活動曾利用虛假的谷歌廣告作為分發渠道。2023年9月，Proofpoint公司記錄到另一起以電子郵件為媒介的釣魚攻擊，傳播了多種惡意軟件家族，包括致命RAT、Gh0st RAT、紫狐（Purple Fox）和ValleyRAT。這兩次入侵活動的有趣之處在于，它們主要針對中文用戶和日本組織。其中部分活動被歸因于一個名為銀狐APT（Silver Fox APT）的威脅組織。

攻擊鏈與惡意軟件加載

最新攻擊鏈的起點是一封包含中文文件名ZIP壓縮包的釣魚郵件。當用戶打開該壓縮包后，會啟動第一階段加載程序，隨后向有道云筆記發送請求，以獲取動態鏈接庫（DLL）文件和致命RAT配置器。配置器模塊則從note.youdao[.]com下載另一條筆記的內容，以訪問配置信息，同時打開一個誘餌文件以避免引起懷疑。

另一方面，DLL是第二階段加載程序，負責從配置文件中指定的服務器（“myqcloud[.]com”）下載并安裝致命RAT載荷，同時顯示一個關于應用程序運行問題的虛假錯誤信息。此次攻擊的一個重要特點是使用了DLL側加載技術，以推進多階段感染序列并加載致命RAT惡意軟件。

卡巴斯基表示：“威脅行為者采用了一種黑白結合的方法，利用合法二進制文件的功能，使事件鏈看起來像正常活動。攻擊者還使用了DLL側加載技術，將惡意軟件的持久性隱藏在合法進程內存中。”致命RAT還執行了17項檢查，以確定惡意軟件是否在虛擬機或沙盒環境中運行。如果其中任何一項檢查失敗，惡意軟件將停止執行。

惡意軟件功能與幕后黑手

致命RAT在等待命令與控制（C2）服務器的進一步指令之前，會終止所有rundll32.exe進程實例，并收集系統信息和已安裝的各種安全解決方案的相關數據。致命RAT是一款功能強大的木馬，能夠記錄鍵盤輸入、損壞主引導記錄（MBR）、打開/關閉屏幕、在Google Chrome和Internet Explorer等瀏覽器中搜索和刪除用戶數據、下載AnyDesk和UltraViewer等附加軟件、執行文件操作、啟動/停止代理，以及終止任意進程。

目前尚不清楚是誰在背后操縱使用致命RAT的攻擊，但戰術和工具與其他活動的重疊表明，“它們都反映了某種程度上相關的不同系列攻擊”。卡巴斯基以中等置信度評估，背后可能是一個中文威脅行為者。研究人員表示：“致命RAT的功能為攻擊者提供了幾乎無限的攻擊開發可能性：通過網絡傳播、安裝遠程管理工具、操縱設備、竊取和刪除機密信息。”

“在攻擊的各個階段持續使用中文服務和界面，以及其他間接證據，表明可能有一個中文威脅行為者參與其中。”