Eine chinesischsprachige Cyberkriminalitätsgruppe hat ihre Aktivitäten nach Europa ausgeweitet und einen zuvor nicht dokumentierten Malware-Loader neben dem Atlas-Fernzugriffs-Trojaner (RAT) in Kampagnen gegen Organisationen in mehreren Ländern eingesetzt, so Sicherheitsforscher.
Die Aktivität wurde einem Bedrohungsakteur namens TA4922 zugeschrieben, einer finanziell motivierten Gruppe, die für Eindringlinge auf Betrug, Datendiebstahl und den Verkauf von Netzwerkzugang bekannt ist. Forscher sagen, dass sich die Gruppe historisch auf Ziele in Asien konzentriert hat, aber kürzlich einen Teil ihrer Aufmerksamkeit auf Europa verlagert hat.
Laut Forschern von ThreatLocker hat TA4922 Organisationen in Deutschland, Italien, dem Vereinigten Königreich und anderen Regionen mit Phishing-Kampagnen ins Visier genommen, die als legitime Dateien getarnt Malware liefern. Nach der Ausführung etabliert die Malware einen Fuß auf dem System des Opfers und lädt zusätzliche Payloads herunter, darunter die Atlas RAT-Backdoor.
Atlas RAT bietet Angreifern umfassende Kontrolle über infizierte Geräte. Die Malware kann Befehle ausführen, Dateien verwalten, Systeminformationen sammeln und dauerhaften Zugriff auf kompromittierte Systeme aufrechterhalten. Solche Fähigkeiten ermöglichen es Bedrohungsakteuren, Aufklärungen durchzuführen, sensible Daten zu stehlen und möglicherweise nach der ersten Kompromittierung zusätzliche Malware einzusetzen.
Forscher identifizierten außerdem eine zuvor nicht dokumentierte Malware-Komponente, die bei den Angriffen verwendet wurde. Der neue Loader ist so konzipiert, dass er der Entdeckung entgeht, während er Atlas RAT und andere bösartige Nutzlasten liefert. Indem der Infektionsprozess in mehrere Phasen unterteilt wird, können Angreifer die Analyse erschweren und die Wahrscheinlichkeit verringern, dass Sicherheitsprodukte die gesamte Angriffskette erkennen.
Bedrohungsintelligenz-Analysten stellten fest, dass TA4922 mit hohem Tempo arbeitet, zahlreiche Kampagnen startet und seine Werkzeuge häufig modifiziert. Die Infrastruktur und das Malware-Arsenal der Gruppe haben sich im Laufe der Zeit weiterentwickelt, sodass sie eine breite Palette von Organisationen angreifen und sich gleichzeitig an Sicherheitskontrollen und Erkennungsmaßnahmen anpassen kann.
Die Ausweitung nach Europa spiegelt einen breiteren Trend wider, bei dem Cyberkriminelle Gruppen zunehmend geografisch über geografische Grenzen hinweg operieren, anstatt sich auf eine einzelne Region zu konzentrieren. Forscher glauben, dass die jüngsten Kampagnen von TA4922 finanziell motiviert sind und nicht mit traditionellen, staatlich geförderten Cyber-Spionageoperationen verbunden sind.