Çince Konuşan Siber Suç Grubu TA4922, Avrupa ve Afrika'ya Yayılıyor: Yeni Tehdit Analizi Yazılım

Çince Konuşan Siber Suç Grubu TA4922, Avrupa ve Afrika'ya Yayılıyor: Yeni Tehdit Analizi

Çince konuşan TA4922 grubu, Japonya'dan Avrupa ve Afrika'ya genişliyor. Yapay zeka destekli kötü amaçlı yazılımlar ve hedefli kimlik avı saldırılarıyl

Çince konuşan yeni bir siber suç grubu, operasyonlarını Doğu Asya'dan Avrupa ve Afrika'ya taşırken, kullandığı kötü amaçlı yazılımları hızla yeniliyor. Proofpoint'in yeni analizine göre TA4922 olarak izlenen grup, finansal motivasyonla hareket ediyor ve kurumsal ağlara uzaktan erişim sağlayarak veri hırsızlığı, dolandırıcılık ve erişim satışı yapıyor. Grup, şu anda Proofpoint'in takip ettiği diğer tüm siber suç aktörlerinden daha fazla sayıda farklı kampanya yürütüyor.

TA4922'nin operasyonları alışılmadık derecede çeşitli: kötü amaçlı yazılım dağıtımı, kimlik bilgisi avı ve kredi kartı hırsızlığı gibi doğrudan dolandırıcılık faaliyetlerini farklı kampanyalarda birleştiriyor. Tarihsel olarak Japonya'ya odaklanan grup, ayrıca Tayvan, Kore, Singapur ve Hindistan'daki kuruluşları da hedef alıyor. Son aylarda ise kampanyaları Birleşik Krallık, Almanya, İtalya ve Güney Afrika'ya ulaştı.

Saldırıların oltalama tuzakları dikkatlice yerelleştirilmiş; hedefin kendi dilinde vergi daireleri, finans departmanları ve insan kaynakları ekiplerini taklit eden e-postalar, maaş bordrosu, fatura ve İK bildirimleri temalı olarak hazırlanıyor. TA4922 ayrıca kurbanları e-postadan LINE, WhatsApp ve Microsoft Teams gibi mesajlaşma uygulamalarına yönlendirmeye çalışıyor, böylece sosyal mühendisliği e-posta güvenliğinin görüş alanı dışında sürdürebiliyor.

Grubun araç seti hızla değişiyor. Son kampanyalarda yeni tespit edilen bir arka kapı olan Atlas RAT, RomulusLoader ve SilentRunLoader adlı iki yeni yükleyici ailesi ve uzun süredir kullanılan ValleyRAT (Winos 4.0) gibi kötü amaçlı yazılımlar kullanıldı. Yükler genellikle DLL sideloading yoluyla ve tüketici dosya paylaşım hizmetlerinden aşamalı olarak yükleniyor. TA4922 ayrıca meşru yazılımlarla karışıyor; RomulusLoader'ı AnyDesk gibi uzaktan yönetim araçlarını bırakmak için kullanıyor.

Detaylar ve Etkileri

Proofpoint, grubun Python kötü amaçlı yazılımlarını hızlıca oluşturmak için büyük dil modelleri (LLM) kullandığını yüksek güvenle değerlendiriyor. Kodda değiştirilmemiş bir yer tutucu anahtarının bırakılması gibi belirtiler buna işaret ediyor. Bu, siber suç gruplarının yapay zekayı operasyonel hız kazanmak için nasıl kullandığını gösteriyor.

Proofpoint, TA4922'yi Silver Fox ve Void Arachne kümeleriyle aynı geniş ekosisteme bağlıyor, ancak bunu ayrı, suç odaklı bir grup olarak değerlendiriyor. Yine de kötü amaçlı yazılımındaki ses, web kamerası ve tuş kaydı gibi gözetleme özellikleri, casusluk aktörlerine satılabilir veya onlar tarafından kullanılabilir. Şirket, 'Bu aktörün küresel doğası, kuruluşların coğrafi hedeflemeden bağımsız olarak ortaya çıkan ve karmaşık tehditlerin farkında olması gerektiğini gösteriyor' uyarısında bulundu.

TA4922'ye karşı korunmak için Proofpoint, kuruluşların uygulama beyaz listelemesi uygulamasını, geçici kullanıcı dizinlerinden çalışan programları izlemesini ve yerel yönetici haklarını sınırlamasını öneriyor. Grup, hedeflerini genişletmeye devam ederken, siber güvenlik ekiplerinin bu tür gelişen tehditlere karşı hazırlıklı olması hayati önem taşıyor.

Kaynak: infosecurity-magazine.com

Paylaş: