Çince Konuşan Aktör TA4922 Küresel Erişimini Genişletiyor Siber Güvenlik

Çince Konuşan Aktör TA4922 Küresel Erişimini Genişletiyor

Operasyonları alışılmadık derecede çeşitlidir ve farklı kampanyalarda kötü amaçlı yazılım dağıtımı, kimlik bilgisi avı ve kredi kartı hırsızlığı gibi ...

Operasyonları alışılmadık derecede çeşitlidir ve farklı kampanyalarda kötü amaçlı yazılım dağıtımı, kimlik bilgisi avı ve kredi kartı hırsızlığı gibi doğrudan dolandırıcılığı bir araya getirir.

Proofpoint'in yeni analizine göre TA4922 olarak takip edilen aktör, mali motivasyona sahip ve veri hırsızlığı, dolandırıcılık ve erişimin yeniden satışı amacıyla kurban sistemlerine uzaktan erişim sağlamaya odaklanıyor. Grup, Proofpoint'in şu anda takip ettiği diğer siber suç aktörlerinden daha farklı kampanyalar yürütüyor.

Çince konuşan yeni bir siber suç grubu, kurumsal ağlara sızmak için kullandığı kötü amaçlı yazılımları hızla elden geçirirken, erişim alanını Doğu Asya'dan Avrupa ve Afrika'ya kadar genişletti.

Tarihsel olarak Japonya'ya odaklanan aktör aynı zamanda Tayvan, Kore, Singapur ve Hindistan'daki kuruluşları da hedef alıyor. Son aylarda kampanyaları İngiltere, Almanya, İtalya ve Güney Afrika'ya ulaştı.

Yemler dikkatlice yerelleştirilmiştir; hedefin kendi dilinde vergi yetkililerinin, finans departmanlarının ve insan kaynakları ekiplerinin kimliğine bürünür ve maaş bordrosu, faturalandırma ve İK bildirimleri etrafında temalanır.

Önemli Gelişmeler

TA4922 ayrıca kurbanları e-postadan alıp LINE, WhatsApp ve Microsoft Teams gibi mesajlaşma uygulamalarına yönlendirmeye çalışıyor; burada sosyal mühendisliğe e-posta güvenliği görünümünün ötesinde devam edebilir.

Benzer kampanyalar hakkında daha fazlasını okuyun: Silver Fox Siber Kampanyaları İkili Casusluğa Doğru Değişimi Gösteriyor.

Sistem Güvenliği

Hızla Değişen, Yapay Zeka Destekli Arsenal

Grubun araçlarının hızla değiştiği bildiriliyor. Son kampanyalar, Winos 4.0 olarak da bilinen ValleyRAT gibi uzun süredir kullanılan kötü amaçlı yazılımların yanı sıra RomulusLoader ve SilentRunLoader adlı iki yeni yükleyici ailesi Proofpoint'in yanı sıra yeni tanımlanan bir arka kapı olan Atlas RAT'ı da sundu.

Uzmanların Görüşleri

Yükler genellikle DLL yan yükleme yoluyla yüklendi ve tüketici dosya paylaşım hizmetlerinden hazırlandı.

TA4922 ayrıca AnyDesk gibi uzaktan yönetim araçlarını (RMT) bırakmak için RomulusLoader'ı kullanarak yasal yazılımlarla da uyum sağlar. Proofpoint, kodda değiştirilmemiş bir yer tutucu anahtarın bırakılması gibi işaretlere atıfta bulunarak, grubun Python kötü amaçlı yazılımını hızlı bir şekilde oluşturmak için büyük dil modelleri (LLM'ler) kullandığını yüksek bir güvenle değerlendirdi.

Proofpoint, TA4922'yi diğer araştırmacıların casuslukla ilişkilendirdiği Silver Fox ve Void Arachne kümeleriyle aynı geniş ekosisteme bağlıyor ancak onu farklı, suç odaklı bir grup olarak değerlendiriyor. Öyle olsa bile, kötü amaçlı yazılımındaki ses, web kamerası ve tuş kaydı yakalama dahil gözetim özellikleri casusluk aktörlerine satılabilir veya onlar tarafından kullanılabilir.

Şirket, "Bu aktörün küresel doğası, kuruluşların coğrafi hedeflemeden bağımsız olarak ortaya çıkan ve karmaşık tehditlere karşı nasıl farkında olmaları gerektiğini gösteriyor" diye yazdı. "Bu tür aktörler, taktiklerini herhangi bir zamanda daha fazla hedef içerecek şekilde hızla genişletebilir ve ölçeklendirebilir."

Teknik Analiz

Proofpoint, riske maruz kalmayı azaltmak için kuruluşlara uygulamaların izin verilenler listesine alınmasını zorunlu kılmalarını, geçici kullanıcı dizinlerinden çalışan programları izlemelerini ve yerel yönetici haklarını sınırlamalarını önerdi.

Paylaş: