Proofpoint'in yeni analizine göre, Çince konuşan siber suç grubu TA4922, Doğu Asya'daki faaliyetlerini Avrupa ve Afrika'ya genişletti. Grup, maddi kazanç odaklı olup, ağlara uzaktan erişim sağlayarak veri hırsızlığı, dolandırıcılık ve erişim satışı yapıyor. TA4922, şu anda Proofpoint'in takip ettiği en fazla sayıda farklı kampanya yürüten siber suç aktörü olarak dikkat çekiyor. Kampanyaları, kötü amaçlı yazılım dağıtımından kimlik avına ve kredi kartı hırsızlığına kadar geniş bir yelpazeyi kapsıyor.
Grup, geçmişte ağırlıklı olarak Japonya'yı hedef alırken, şimdi Tayvan, Güney Kore, Singapur ve Hindistan'daki kuruluşlara da yöneliyor. Son aylarda ise Birleşik Krallık, Almanya, İtalya ve Güney Afrika'da kampanyalar tespit edildi. TA4922, hedef dilde vergi daireleri, finans departmanları ve insan kaynakları ekiplerini taklit eden, bordro, fatura ve İK bildirimleri temalı dikkatlice yerelleştirilmiş tuzaklar kullanıyor. Ayrıca, kurbanları e-postadan LINE, WhatsApp ve Microsoft Teams gibi mesajlaşma uygulamalarına yönlendirerek sosyal mühendisliği e-posta güvenliğinin dışında sürdürüyor.
TA4922'nin araç seti hızla değişiyor. Son kampanyalarda, yeni tanımlanan bir arka kapı olan Atlas RAT, iki yeni loader ailesi (RomulusLoader ve SilentRunLoader) ve uzun süredir kullanılan ValleyRAT (Winos 4.0 olarak da bilinir) tespit edildi. Yükler genellikle DLL sideloading yoluyla ve tüketici dosya paylaşım hizmetlerinden aşamalı olarak yükleniyor. Ayrıca, RomulusLoader üzerinden AnyDesk gibi uzaktan yönetim araçları (RMT) da dağıtılıyor. Proofpoint, grubun Python kötü amaçlı yazılımlarını hızlıca oluşturmak için büyük dil modelleri (LLM) kullandığını yüksek güvenle değerlendiriyor; kodda değiştirilmemiş bir yer tutucu anahtar bulunması buna işaret ediyor.
Proofpoint, TA4922'yi Silver Fox ve Void Arachne kümeleriyle aynı geniş ekosisteme bağlıyor, ancak onu farklı, suç odaklı bir grup olarak değerlendiriyor. Diğer araştırmacılar bu kümeleri casuslukla ilişkilendirse de, TA4922'nin kötü amaçlı yazılımlarındaki ses, web kamerası ve tuş kaydı gibi gözetleme özellikleri, casusluk aktörleri tarafından satın alınabilir veya kullanılabilir. Şirket, 'Bu aktörün küresel doğası, kuruluşların coğrafi hedeflemeden bağımsız olarak ortaya çıkan karmaşık tehditlerin farkında olması gerektiğini gösteriyor' uyarısında bulundu.
Teknik Analiz
TA4922'nin kampanyaları, kurumsal ağlara sızmak için çok aşamalı bir yaklaşım izliyor. İlk olarak, hedefe yönelik e-postalar gönderiliyor; bu e-postalar, vergi iadesi, fatura ödemesi veya İK bildirimi gibi meşru görünen konular içeriyor. E-postada genellikle bir bağlantı veya ek bulunuyor. Bağlantıya tıklandığında, kurban bir dosya paylaşım hizmetine (örneğin Google Drive, Dropbox veya benzeri) yönlendiriliyor ve buradan RomulusLoader veya SilentRunLoader indiriliyor. Loader, DLL sideloading yoluyla çalıştırılıyor ve ardından Atlas RAT veya ValleyRAT gibi ana yükü indiriyor. Bu yükler, kurbanın bilgisayarında kalıcılık sağlıyor ve uzaktan erişime izin veriyor.
Detaylar ve Etkileri
Grup, sosyal mühendislikte de oldukça başarılı. Hedefleri e-postadan mesajlaşma uygulamalarına taşıyarak, güvenlik ekiplerinin tespit etmesini zorlaştırıyor. Örneğin, bir kurban e-postadaki bağlantıya tıkladıktan sonra, bir WhatsApp grubuna ekleniyor ve burada sahte bir destek ekibi tarafından yönlendiriliyor. Bu sayede, kimlik avı saldırıları daha inandırıcı hale geliyor ve kurbanın hassas bilgilerini vermesi sağlanıyor. Ayrıca, grup, kurbanın ağına sızdıktan sonra, diğer sistemlere yatay hareket ederek daha fazla veri çalmaya çalışıyor.
TA4922'nin bu kadar hızlı genişlemesi ve taktik değiştirmesi, siber güvenlik uzmanlarını endişelendiriyor. Proofpoint, kuruluşların uygulama izin listeleri oluşturmasını, geçici kullanıcı dizinlerinden çalışan programları izlemesini ve yerel yönetici haklarını sınırlamasını öneriyor. Ayrıca, e-posta güvenlik çözümlerinin yanı sıra, mesajlaşma uygulamalarındaki şüpheli etkinliklerin de izlenmesi gerektiği vurgulanıyor. Grup, AI destekli araçlar sayesinde daha hızlı ve etkili kötü amaçlı yazılımlar üretebildiği için, savunma mekanizmalarının da sürekli güncellenmesi kritik önem taşıyor.
Sistem Güvenliği
Proofpoint analistleri, TA4922'nin önümüzdeki dönemde daha fazla bölgeyi hedef alabileceğini ve yeni sıfırıncı gün açıklarından yararlanabileceğini belirtiyor. Özellikle, grup şu anda Afrika'ya odaklanmış durumda, ancak buradan Orta Doğu ve Latin Amerika'ya sıçraması olası. Kuruluşlar, tehdit istihbaratı akışlarını güncel tutmalı ve çalışanlarını sosyal mühendislik saldırılarına karşı düzenli olarak eğitmelidir. TA4922, siber suç dünyasında yeni bir trendin habercisi olabilir: küresel, çok yönlü ve AI destekli saldırılar.
Kaynak: infosecurity-magazine.com