Злоумышленники используют легитимные сервисы облачных вычислений для управления вредоносным ПО и развертывания сложных многоэтапных схем атак с целью обхода систем обнаружения вторжений. С помощью этого злоумышленники могут распространять вредоносное ПО в сетевой системе жертвы, устанавливать средства удаленного управления, захватывать управление устройством, красть и удалять конфиденциальную информацию.

Кампания была нацелена на правительственные учреждения и организации тяжелой промышленности во многих странах и территориях Азиатско-Тихоокеанского региона (АТР), включая Тайвань, Малайзию, Китай, Японию, Таиланд, Гонконг, Южную Корею, Сингапур, Филиппины и Вьетнам. Хакеры используют сжатые файлы, содержащие вредоносный код, замаскированные под налоговые документы, и распространяют их с помощью фишинговых кампаний по электронной почте и в приложениях для обмена сообщениями, таких как WeChat и Telegram. После сложного многоуровневого процесса установки вредоносного ПО в систему киберпреступники приступают к установке бэкдора под названием FatalRAT.

Хотя эта кампания имеет некоторые сходства с предыдущими атаками с использованием вредоносного ПО для удаленного доступа с открытым исходным кодом (RAT), такого как Gh0st RAT, SimayRAT, Zegost и FatalRAT. Эксперты отметили существенные изменения в тактике, методах и приемах работы, которые теперь нацелены на организации и агентства, говорящие на китайском языке.

Атака была осуществлена ​​через сеть доставки контента (CDN) myqcloud и хостинг-сервис Youdao Cloud Notes — две легитимные китайские платформы облачных вычислений. Чтобы избежать обнаружения и предотвращения атак, хакеры используют множество методов, таких как: постоянное изменение сервера управления и вредоносной нагрузки для снижения вероятности отслеживания, хранение вредоносного ПО на легитимных веб-сайтах для «обхода» системы безопасности, использование уязвимостей в легитимном программном обеспечении для развертывания атак, использование легитимных функций программного обеспечения для активации вредоносного ПО, шифрование файлов и сетевого трафика для сокрытия необычной активности.

Касперский назвал кампанию SalmonSlalom, чтобы описать, как киберпреступники умело обходят сетевую защиту, используя изощренную тактику и постоянно меняющиеся методы, подобно тому, как лосось проплывает по быстрому и трудному пути, требующему выносливости и изобретательности для преодоления препятствий.

«Киберпреступники используют относительно простые методы для достижения своих целей, даже в средах операционных технологий (OT)», — сказал Евгений Гончаров, руководитель Kaspersky ICS CERT. «Эта кампания является предупреждением для организаций тяжелой промышленности в регионе APAC о том, что злоумышленники способны удаленно проникать в системы OT. Организациям необходимо повышать осведомленность об этих угрозах, укреплять свою защиту и активно реагировать, чтобы защитить активы и данные от кибератак».