卡巴斯基工业控制系统计算机应急响应团队（ICS CERT）发现了一起针对亚太地区工业组织的恶意攻击活动。攻击者利用合法的云服务管理恶意软件，并采用复杂的、多阶段的恶意软件投递方案，利用合法软件规避检测。因此，他们能够在受害组织的网络中传播恶意软件，安装远程管理工具，操纵设备，窃取和删除机密信息。

此次恶意活动针对亚太地区多个国家和地区的政府机构和工业组织，包括中国台湾、马来西亚、中国大陆、日本、泰国、中国香港、韩国、新加坡、菲律宾和越南。攻击者通过网络钓鱼邮件和即时通讯软件（微信和Telegram）向受害者发送伪装成税务相关文件的恶意压缩包（zip文件）。通过复杂的多阶段恶意软件安装过程，最终在受害者的系统上植入FatalRAT后门程序。

虽然此次活动中观察到的工作流程与之前威胁行为者利用Gh0st RAT、SimayRAT、Zegost和FatalRAT等开源远程访问木马（RAT）发起的活动存在相似之处，但此次行动在战术、技术和程序上展现出了显著转变，特别针对中文目标进行了定制化调整。

此次攻击利用了合法的中国云内容分发网络 (CDN) myqcloud)和有道云笔记服务。攻击者使用了多种方法来逃避检测和封锁：动态更改控制服务器和恶意有效负载，将文件放置在合法的网络资源上，利用合法应用程序中的漏洞以及使用合法软件的功能来启动恶意软件，对文件和网络流量进行打包和加密。

卡巴斯基将这一攻击活动称为 “鲑鱼回旋”（SalmonSlalom）：意指攻击者如同鲑鱼逆流而上般挑战网络防御，在激流和岩石中穿梭，消耗着自身的力量

AdrianHia是卡巴斯基亚太区董事总经理表示：“此次‘鲑鱼回旋’（SalmonSlalom）攻击活动展现了威胁行为者日益增强的隐蔽性和适应性，他们利用合法的云服务和软件进行恶意投递，绕过传统检测手段，给工业网络安全带来了更大挑战。这也反映出针对亚太地区工业组织的攻击手法正在不断演进，攻击者不仅采用复杂的多阶段感染链，还针对特定目标进行定制化调整。面对这样的威胁，工业组织需要强化安全意识，提升威胁检测能力，并加强跨区域、跨行业的威胁情报共享，以更有效地抵御此类隐蔽攻击。”

 “我们经常看到，威胁行为者即便采用相对简单的攻击方法和技巧组合，也能成功触及目标，甚至渗透至OT网络边界内。此次攻击活动警示亚太地区工业组织，提醒他们警惕那些已展现出远程接入运营技术系统能力的威胁行为者。意识到此类潜在威胁的存在，使这些组织能够强化其安全措施，并主动采取应对策略，以保护其资产和数据免受恶意行为者的侵害，”卡巴斯基ICS CERT负责人Evgeny Goncharov评论说。

尽管无法将这次攻击溯源到任何已知的威胁阻止，但这次攻击持续使用中文服务和界面，结合其他技术证据，表明很可能有说中文的威胁行为者参与。

为了避免成为以上攻击的受害者，我们建议企业采取以下措施：

· 启用双因素身份验证，用于登录安全解决方案的管理控制台和 Web 界面。

· 在所有系统上安装最新版本的集中式管理安全解决方案，并定期更新反病毒数据库和程序模块。

· 确保所有系统上的安全解决方案组件均已启用，并检查现行策略是否要求输入管理员密码才能禁用保护、终止或移除解决方案组件。

· 对于法律法规未禁止使用云安全服务的系统组，请检查安全解决方案是否接收最新的威胁信息（例如，来自 卡巴斯基安全网络的信息）。

· 将操作系统和应用程序更新至供应商当前支持的版本。为操作系统和应用程序安装最新的安全更新（补丁）。

· 部署 SIEM 系统，例如 卡巴斯基统一监控和分析平台。

· 使用EDR/XDR/MDR解决方案，建立OT环境中常见祖先-父-子进程关系的基线。我们观察到攻击者利用合法程序的合法功能执行后续分阶段的有效载荷，因此强烈建议使用此方法。