Megkedvelte Európát az egyik kínai kiberbanda

Egy újabb feketekalapos hackercsoport kezdett megkörnyékezni európai vállalatokat, intézményeket.
 

A Proofpoint biztonsági cég egyre aggasztóbbnak találja az úgynevezett TA4922 kibercsoport tevékenységét. A vállalat szerint ennek a bandának korábban elsősorban kelet-ázsiai célpontjai voltak, azonban az utóbbi hetekben átevezett európai vizekre, és többek között német, olasz, valamint brit vállalatoknál okoz károkat. 

"A fenyegetettségi adataink szerint a TA4922 jelenleg minden más kiberbandánál több egyedi támadást indít"

- vélekedett a vállalat.

A kibercsoport célja elsősorban anyagi haszonszerzés, amit adatszivárogtatással, csalásokkal és a kompromittált infrastruktúrákhoz történő hozzáférési lehetőségek értékesítésével igyekszik megvalósítani.

A szóban forgó támadások alapvető jellemzője, hogy célzott üzenetekkel veszik kezdetüket, amik legtöbbször elektronikus levelekben érkeznek meg. Ugyanakkor előfordult már, hogy az elkövetők például WhatsAppon vagy Teamsen keresztül környékezték meg a potenciális áldozatukat. Sokszor ezek a megtévesztő üzenetek olyan témákat ölelnek fel, mint például: mondvacsinált fizetési értesítők, ÁFA-bevallások, kormányzati dokumentumok, számlák, adóellenőrzési értesítők, HR-iratok stb.

A Proofpoint jelezte, hogy a kiberbanda támadásainak kivédése azért is nehéz, mert sokféle módszert és kártékony kódot alkalmaz. Sok esetben olyan egyedi megoldásokat is bevet, amiket nagy valószínűséggel már mesterséges intelligencia (LLM-ek) segítségével hoz létre.

Jelenleg az egyik leggyakrabban bevetett károkozónak az Atlas RAT trójai számít, amely jogosulatlan távoli hozzáférést biztosít a támadók számára. Ezt egészíti ki például a RomulusLoader nevű ártalmas program, ami payloadok letöltését és futtatását hivatott ellátni. Képes olyan legitim eszközök telepítése révén is segíteni az elkövetőket, mint amilyen például az AnyDesk. 

A kibercsoport által használt további károkozó a SilentRunLoader, ami adatszivárogtatási célokat szolgál. A Python alapú szerzemény webböngészőkből képest hitelesítő és egyéb előzményi adatokat meglovasítani.

A Proofpoint szerint a TA4922 csoport kínai gyökerekkel rendelkezik, de ennél pontosabban még nem sikerült beazonosítani a bandát.