Siber güvenlik dünyası, Çin kökenli yeni bir tehdit aktörü olan TA4922 ile tanışıyor. Proofpoint'in kapsamlı analizine göre, bu grup alışılmadık derecede çeşitli operasyonlarıyla dikkat çekiyor. Kötü amaçlı yazılım dağıtımı, kimlik avı ve kredi kartı hırsızlığı gibi doğrudan dolandırıcılık faaliyetlerini farklı kampanyalarda birleştiriyor. Finansal motivasyonla hareket eden grup, kurban sistemlerine uzaktan erişim sağlayarak veri hırsızlığı, dolandırıcılık ve bu erişimlerin yeniden satışını hedefliyor. Proofpoint, TA4922'nin şu anda takip ettikleri tüm siber suç grupları arasında en fazla sayıda farklı kampanyayı yürüttüğünü belirtiyor.
Başlangıçta Japonya'ya odaklanan TA4922, zamanla Tayvan, Kore, Singapur ve Hindistan'daki organizasyonları da hedef almaya başladı. Son aylarda ise operasyonlarını Birleşik Krallık, Almanya, İtalya ve Güney Afrika'ya kadar genişletti. Grup, hedef ülkelerin diline özenle lokalize edilmiş tuzaklar kullanıyor. Vergi daireleri, finans departmanları ve insan kaynakları ekiplerini taklit eden bu tuzaklar, maaş bordrosu, fatura ve insan kaynakları bildirimleri temalı. Bu sayede şüphe uyandırmadan kurbanların güvenini kazanıyorlar.
TA4922'nin dikkat çekici bir diğer taktiği, kurbanları e-posta ortamından LINE, WhatsApp ve Microsoft Teams gibi mesajlaşma uygulamalarına yönlendirmek. Bu sayede sosyal mühendislik saldırılarını e-posta güvenlik sistemlerinin gözünden uzakta sürdürebiliyorlar. Bu yaklaşım, geleneksel e-posta filtrelerini aşarak saldırıların başarı oranını artırıyor. Grup, ayrıca daha önce belgelenmiş Silver Fox kampanyalarıyla benzerlikler gösteriyor.
Grubun araç seti hızla değişiyor ve yapay zeka desteğiyle güçleniyor. Son kampanyalarda, yeni tespit edilen Atlas RAT arka kapısının yanı sıra, Proofpoint tarafından RomulusLoader ve SilentRunLoader olarak adlandırılan iki yeni yükleyici ailesi kullanıldı. Uzun süredir kullanılan ValleyRAT (Winos 4.0) gibi kötü amaçlı yazılımlar da hala aktif. Yükler genellikle DLL sideloading yöntemiyle ve tüketici dosya paylaşım hizmetlerinden aşamalı olarak yükleniyor.
Önemli Gelişmeler
TA4922, meşru yazılımlarla da iç içe geçiyor. RomulusLoader, AnyDesk gibi uzaktan yönetim araçlarını (RMT) bırakmak için kullanılıyor. Proofpoint, grubun Python kötü amaçlı yazılımlarını hızla oluşturmak için büyük dil modelleri (LLM) kullandığına yüksek güvenle inanıyor. Kodda değiştirilmemiş bir yer tutucu anahtarın bulunması, bu yapay zeka kullanımının belirgin bir işareti. Bu, grubun modern araçları etkin bir şekilde kullandığını gösteriyor.
Proofpoint, TA4922'yi Silver Fox ve Void Arachne kümeleriyle aynı geniş ekosistemin parçası olarak değerlendirse de, onu casusluktan ziyade suç odaklı ayrı bir grup olarak tanımlıyor. Ancak, kötü amaçlı yazılımlarındaki ses, web kamerası ve tuş kaydı gibi gözetleme özelliklerinin casusluk aktörlerine satılabileceği veya kullanılabileceği uyarısında bulunuyor. Şirket, 'Bu aktörün küresel doğası, kuruluşların coğrafi hedeflemeden bağımsız olarak ortaya çıkan karmaşık tehditlerin farkında olması gerektiğini gösteriyor' ifadelerini kullandı.
TA4922'ye karşı korunmak için Proofpoint, kuruluşların uygulama beyaz listelemesini zorunlu kılmasını, geçici kullanıcı dizinlerinden çalışan programları izlemesini ve yerel yönetici haklarını sınırlandırmasını öneriyor. Bu önlemler, grubun DLL sideloading ve yetki yükseltme gibi tekniklerine karşı etkili bir savunma katmanı oluşturabilir. Siber güvenlik uzmanları, TA4922'nin hızla genişleme ve taktiklerini ölçeklendirme yeteneğinin, küresel çapta tüm organizasyonlar için sürekli bir tehdit oluşturduğu konusunda uyarıyor.
Kaynak: infosecurity-magazine.com