Siber güvenlik dünyasında yeni bir tehdit aktörü hızla yükseliyor. Proofpoint tarafından TA4922 olarak izlenen Çince konuşan siber suç grubu, Doğu Asya'daki hedeflerinin ötesine geçerek Avrupa ve Afrika'ya ulaştı. Grup, daha önce yoğun olarak Japonya'ya odaklanmışken, artık Tayvan, Güney Kore, Singapur ve Hindistan'daki kuruluşların yanı sıra Birleşik Krallık, Almanya, İtalya ve Güney Afrika'da da faaliyet gösteriyor. Finansal motivasyonlu olan TA4922, özellikle kurumsal ağlara uzaktan erişim sağlayarak veri hırsızlığı, dolandırıcılık ve erişim satışı yapıyor.
Proofpoint analistlerine göre TA4922, izledikleri diğer tüm siber suç gruplarından daha fazla farklı kampanya yürütüyor. Operasyonları alışılmadık derecede çeşitli: kimlik avı, kredi kartı hırsızlığı ve kötücül yazılım dağıtımı gibi birçok yöntemi bir arada kullanıyor. Grup, hedeflediği kuruluşlara yönelik son derece özelleştirilmiş tuzaklar hazırlıyor. Vergi daireleri, maliye bölümleri ve insan kaynakları ekiplerini taklit eden e-postalar göndererek, maaş bordrosu, fatura ve İK bildirimi temalı içeriklerle kurbanları tuzağa düşürüyor.
TA4922'nin en dikkat çekici taktiklerinden biri, kurbanları e-posta ortamından uzaklaştırarak LINE, WhatsApp ve Microsoft Teams gibi mesajlaşma uygulamalarına yönlendirmesi. Bu sayede e-posta güvenlik sistemlerinin gözünden kaçarak sosyal mühendislik saldırılarını sürdürüyor. Grup, bu yöntemle hedeflerini daha derinlemesine analiz edip, ikna kabiliyetini artırıyor. Özellikle Asya'da popüler olan LINE, bu bölgedeki kampanyalarında sıkça kullanılıyor.
Grup, araç setini hızla güncelliyor. Son kampanyalarında yeni tespit edilen bir arka kapı olan Atlas RAT ile birlikte Proofpoint'in RomulusLoader ve SilentRunLoader adını verdiği iki yeni yükleyici (loader) ailesi kullanıyor. Ayrıca Winos 4.0 olarak da bilinen ValleyRAT gibi eski kötücül yazılımları da halen kullanıyor. Yükler genellikle DLL sideloading yöntemiyle ve tüketici dosya paylaşım hizmetlerinden aşamalı olarak yükleniyor. RomulusLoader aracılığıyla AnyDesk gibi uzaktan yönetim araçlarını (RMT) da dağıtarak meşru yazılımlarla karışıyor.
Teknik Analiz
Proofpoint, TA4922'nin Python tabanlı kötücül yazılımlarını hızlıca oluşturmak için büyük dil modellerinden (LLM) yararlandığına dair yüksek güvenle değerlendirme yapıyor. Kod içinde değiştirilmeden bırakılmış bir yer tutucu anahtar (placeholder key) gibi işaretler, yapay zeka kullanımının kanıtı olarak gösteriliyor. Bu, siber suç gruplarının yapay zekayı daha verimli araçlar üretmek için nasıl kullandığının somut bir örneği.
Uzmanların Görüşleri
TA4922, Silver Fox ve Void Arachne kümeleriyle aynı geniş ekosistemin parçası olarak değerlendiriliyor. Diğer araştırmacılar bu kümeleri casuslukla ilişkilendirirken, Proofpoint TA4922'yi ayrı ve suç odaklı bir grup olarak tanımlıyor. Ancak gruptaki kötücül yazılımların ses, web kamerası ve tuş kaydı gibi izleme özellikleri, casusluk aktörleri tarafından satın alınabilecek veya kullanılabilecek nitelikte. Bu da grubun hem suç hem de casusluk amaçlı kullanılabilecek çok yönlü bir tehdit olduğunu gösteriyor.
Proofpoint, "Bu aktörün küresel doğası, kuruluşların coğrafi hedeflemeden bağımsız olarak ortaya çıkan karmaşık tehditlerin farkında olması gerektiğini gösteriyor" uyarısında bulunuyor. Korunmak için uygulama beyaz listesi oluşturulması, geçici kullanıcı dizinlerinden çalışan programların izlenmesi ve yerel yönetici haklarının sınırlandırılması öneriliyor. TA4922'nin hızla yeni taktikler geliştirebildiği ve hedef kitlesini genişletebildiği göz önüne alındığında, şirketlerin siber güvenlik önlemlerini sürekli güncel tutması hayati önem taşıyor.
Kaynak: infosecurity-magazine.com