SalmonSlalom kampány
A Kaspersky ICS CERT azonosított egy kifinomult kampányt, amelyet Operation SalmonSlalom néven követnek. A kampány kifejezetten az ázsiai és csendes-óceáni térség (APAC) ipari szervezeteit célozza meg, különös tekintettel a kínai nyelvű célpontokra. A támadók egy összetett, többlépcsős fertőzési láncot alkalmaznak, amelynek végén a FatalRAT nevű hátsó ajtó (backdoor) települ a rendszerekre.
A támadók kínai felhőszolgáltatásokat, például a myqcloud tartalomszolgáltató hálózatot (CDN) és a Youdao Cloud Notes szolgáltatást használják az infrastruktúrájuk részeként. A fertőzési lánc több szakaszból áll, DLL oldaltöltést és dinamikusan változó vezérlőszerver-címeket (C2) használnak, hogy elkerüljék az azonosítást.
A támadók adathalász kampányokat indítanak kormányzati ügynökségek és ipari szervezetek ellen az APAC régióban, olyan országokban, mint Tajvan, Malajzia, Kína, Japán, Thaiföld, Hongkong, Dél-Korea, Szingapúr, Fülöp-szigetek és Vietnam. A fertőzés kezdeti szakaszában e-maileken, WeChat-en és Telegramon keresztül küldenek ZIP fájlokat, amelyek hamis számláknak vagy adóbevallási alkalmazásoknak álcázott fájlokat tartalmaznak.
A fertőzési lánc végén a rendszerre települ a FatalRAT nevű hátsó ajtó, amely lehetővé teszi a támadók számára a távoli hozzáférést és a rendszer irányítását.
A Kaspersky ICS CERT részletes technikai elemzést és további információkat tett közzé az Operation SalmonSlalom kampányról.
