공격자는 합법적인 클라우드 컴퓨팅 서비스를 활용하여 맬웨어를 관리하고 침입 탐지 시스템을 우회하기 위해 복잡하고 다단계의 공격 파이프라인을 구축합니다. 이를 통해 악의적인 사람들은 피해자의 네트워크 시스템에 맬웨어를 퍼뜨리고, 원격 제어 도구를 설치하고, 장치를 제어하고, 기밀 정보를 훔치고 삭제할 수 있습니다.

이 캠페인은 대만, 말레이시아, 중국, 일본, 태국, 홍콩, 한국, 싱가포르, 필리핀, 베트남 등 아시아 태평양(APAC) 지역의 여러 국가와 지역에 있는 정부 기관과 중공업 조직을 타겟으로 했습니다. 해커는 세금 관련 문서처럼 위장한 악성 코드가 포함된 압축 파일을 사용하고, 이메일이나 WeChat, Telegram과 같은 메시징 앱을 통한 피싱 캠페인을 통해 이를 확산시킵니다. 사이버범죄자들은 ​​시스템에 복잡한 다층 맬웨어를 설치하는 과정을 거친 후 FatalRAT이라는 백도어를 설치합니다.

이 캠페인은 Gh0st RAT, SimayRAT, Zegost, FatalRAT와 같은 오픈 소스 원격 액세스 맬웨어(RAT)를 사용하는 이전의 공격과 일부 유사점을 공유합니다. 전문가들은 중국어를 사용하는 조직과 기관을 타깃으로 삼아 전술, 기술, 운영 방법에 상당한 변화가 일어났다고 보고 있습니다.

이 공격은 콘텐츠 전송 네트워크(CDN) myqcloud와 호스팅 서비스 Youdao Cloud Notes를 통해 수행되었습니다. 이 두 곳 모두 중국의 합법적인 클라우드 컴퓨팅 플랫폼입니다. 해커는 탐지 및 예방을 피하기 위해 다음과 같은 여러 가지 기술을 사용했습니다. 추적 가능성을 줄이기 위해 제어 서버와 맬웨어 페이로드를 지속적으로 변경하고, 보안 시스템을 "우회"하기 위해 합법적인 웹사이트에 맬웨어를 저장하고, 합법적인 소프트웨어의 취약점을 악용하여 공격을 실행하고, 소프트웨어의 합법적 기능을 사용하여 맬웨어를 활성화하고, 파일과 네트워크 트래픽을 암호화하여 비정상적인 활동을 숨깁니다.

카스퍼스키는 이 캠페인에 'SalmonSlalom'이라는 이름을 붙였는데, 사이버범죄자들이 정교한 전략과 끊임없이 바뀌는 방법을 통해 네트워크 방어를 교묘히 회피하는 모습을 묘사한 것입니다. 마치 장애물을 극복하기 위해 인내심과 독창성이 필요한 빠르고 힘든 여정을 헤엄치는 연어와 비슷합니다.

Kaspersky ICS CERT 책임자인 Evgeny Goncharov는 "사이버 범죄자들은 ​​운영 기술(OT) 환경에서도 목표를 달성하기 위해 비교적 간단한 기술을 사용합니다."라고 말했습니다. "이 캠페인은 APAC 지역의 중공업 조직에 악의적인 행위자가 OT 시스템에 원격으로 침투할 수 있다는 경고입니다. 조직은 이러한 위협에 대한 인식을 높이고 방어를 강화하며 자산과 데이터를 사이버 공격으로부터 보호하기 위해 적극적으로 대응해야 합니다."