TA4922 провежда мащабни фишинг кампании срещу организации в Германия, Италия, Великобритания и Южна Африка

Китайскоговорящата киберпрестъпна група TA4922 значително е разширила географския обхват на своите операции, като за първи път насочва мащабни атаки към европейски организации. Според изследователи от компанията за киберсигурност Proofpoint, групата използва нови инструменти за проникване, включително наскоро идентифицирания троянец за отдалечен достъп Atlas RAT, както и няколко неизвестни досега зареждащи модула за зловреден код.

Специалистите определят TA4922 като финансово мотивирана киберпрестъпна група, чиято основна цел е проникване в корпоративни мрежи с цел измама, кражба на данни и продажба на достъп до компрометирани системи.

От Азия към Европа

До неотдавна групата е била активна основно в Източна Азия, но през последните месеци фокусът ѝ се измества към организации в:

• Германия
• Италия
• Обединеното кралство
• Южна Африка

Изследователите отбелязват, че от март насам активността на TA4922 е нараснала значително, а от април се наблюдава безпрецедентно разнообразие от кампании и изключително високо оперативно темпо.

Според Proofpoint групата провежда повече уникални кампании от всеки друг киберпрестъпен субект, който компанията следи в момента.

Възможна употреба на ИИ при разработката на зловреден код

Един от най-интересните изводи в доклада е предположението, че нападателите използват големи езикови модели (LLM) за ускоряване на разработката на своя зловреден софтуер.

Експертите са открили множество признаци, които често се срещат при код, генериран с помощта на ИИ:

• оставени временни стойности и маркери;
• автоматично генерирани коментари;
• повтарящи се програмни шаблони;
• структури, характерни за код, създаден чрез генеративни модели.

Това не е окончателно доказателство, но подсказва, че престъпните групи все по-често използват ИИ за ускоряване на цикъла по разработка и обновяване на зловредни инструменти.

Фишинг примамки, адаптирани към местните пазари

TA4922 използва внимателно подготвени фишинг съобщения, съобразени с езика и административните практики на съответната държава.

Сред най-често използваните примамки са:

• уведомления за заплати;
• данъчни проверки;
• декларации по ДДС;
• съобщения от държавни институции;
• фактури;
• комуникации от отдели „Човешки ресурси“.

Освен чрез електронна поща, нападателите контактуват потенциалните жертви и чрез:

• WhatsApp;
• LINE;
• Microsoft Teams.

Тази многостепенна комуникация увеличава вероятността потребителите да се доверят на изпратените файлове или връзки.

Atlas RAT – нов инструмент за пълен контрол над системите

Сред най-значимите открития на Proofpoint е Atlas RAT – нов троянец за отдалечен достъп, който предоставя широк набор от функции за наблюдение и контрол.

След успешно заразяване зловредният софтуер позволява:

• събиране на информация за системата;
• кражба на файлове;
• изтегляне на допълнителни модули;
• запис на натисканията върху клавиатурата;
• заснемане на екрана;
• запис чрез микрофон;
• достъп до уеб камерата;
• рестартиране или изключване на устройството.

Особено притеснителен е фактът, че тези възможности могат да бъдат използвани не само за финансова измама, но и за наблюдение и шпионаж.

Усъвършенствани техники за избягване на анализ

Atlas RAT разполага и с множество механизми за откриване на защитени среди и инструменти за анализ.

Сред проверките са:

• наличие на среди за изследване на зловреден код;
• специфични потребителски имена;
• определени ключове в системния регистър;
• услуги, свързани със защитни решения на Microsoft;
• идентификатори на операционната система.

Ако открие признаци на анализираща среда, зловредният код може да прекрати изпълнението си и така да затрудни разследването.

RomulusLoader – нов зареждащ модул

Изследователите са идентифицирали и нов зареждащ компонент, наречен RomulusLoader.

Неговата задача е да изтегля и стартира допълнителни полезни товари чрез техники като:

• process hollowing;
• инжектиране на shellcode;
• директно изпълнение на код в паметта.

В някои случаи RomulusLoader е използван за внедряване на легитимни инструменти за отдалечено управление като AnyDesk и SyncFuture, популярен софтуер за дистанционен мониторинг в Китай.

Любопитно е, че SyncFuture е бил използван и при атаки срещу германски организации.

SilentRunLoader краде данни от Google Chrome

Друг нов инструмент в арсенала на TA4922 е SilentRunLoader, написан на Python.

Този зловреден софтуер е насочен към:

• потребителски имена и пароли;
• бисквитки;
• история на сърфиране;
• друга чувствителна информация, съхранявана в Google Chrome.

Кампаниите със SilentRunLoader са засечени срещу организации във Великобритания и Югоизточна Азия, като нападателите са се представяли за държавни институции и обществени услуги.

Използва се и познатият Winos 4.0

Proofpoint е установила и използване на добре познатото семейство зловреден софтуер Winos 4.0, което компанията проследява под името ValleyRAT.

Този инструмент предоставя практически всички функции, необходими за пълен отдалечен контрол върху компрометирани устройства и често се използва като последен етап след успешно проникване.

Нарастваща заплаха за европейските организации

Анализаторите предупреждават, че TA4922 се отличава с изключително бърза адаптация, разнообразни методи за атака и непрекъснато разширяване на своя инструментариум.

Макар основната мотивация на групата да изглежда финансова, възможностите на използвания зловреден софтуер позволяват наблюдение, събиране на разузнавателна информация и дългосрочно следене на жертви, което създава риск подобни инструменти да бъдат използвани или препродавани на шпионски структури и държавно подкрепяни групи.

Докладът на Proofpoint включва и подробни индикатори за компрометиране (IoC), както и информация за командно-контролната инфраструктура, използвана в атаките на TA4922.