Çince konuşan bir siber suç grubu, operasyonlarını Avrupa’ya genişletti; güvenlik araştırmacılarına göre, daha önce belgelenmemiş bir kötü amaçlı yazılım yükleyicisini Atlas uzaktan erişim trozanı (RAT) ile birlikte birçok ülkedeki kuruluşları hedef alan kampanyalarda konuşlandırdı.
Bu faaliyet, dolandırıcılık, veri hırsızlığı ve ağ erişimi satışına yönelik müdahalelerle bilinen finansal motivasyonlu bir tehdit aktörü olan TA4922 olarak takip edilen bir tehdit aktörüne atfedilmiştir. Araştırmacılar, grubun tarihsel olarak Asya’daki hedeflere odaklandığını, ancak son zamanlarda dikkatinin bir kısmını Avrupa’ya kaydırdığını söylüyor.
ThreatLocker araştırmacılarına göre, TA4922 Almanya, İtalya, Birleşik Krallık ve diğer bölgelerdeki kuruluşları hedef alıyor; bu kampanyalar yasal dosyalar gibi gizlenmiş kötü amaçlı yazılım dağıtıyor. Uygulandıktan sonra, kötü amaçlı yazılım kurbanın sisteminde bir yer kurar ve Atlas RAT arka kapısı da dahil olmak üzere ek yükleri indirir.
Atlas RAT, saldırganlara enfekte cihazlar üzerinde kapsamlı kontrol sağlar. Kötü amaçlı yazılım, komutları çalıştırabilir, dosyaları yönetebilir, sistem bilgisi toplayabilir ve tehlikedeki sistemlere sürekli erişim sağlayabilir. Bu tür yetenekler, tehdit aktörlerinin keşif yapmasına, hassas verileri çalmasına ve ilk tehlikeden sonra ek kötü amaçlı yazılım yayımlamasına olanak tanır.
Araştırmacılar ayrıca saldırılarda kullanılan daha önce belgelenmemiş bir zararlı yazılım bileşenini de tespit ettiler. Yeni yükleyici, Atlas RAT ve diğer kötü niyetli yükleri teslim ederken tespit edilmemek üzere tasarlanmıştır. Enfeksiyon sürecini birden fazla aşamaya ayırarak, saldırganlar analizi zorlaştırabilir ve güvenlik ürünlerinin tüm saldırı zincirini tespit etme olasılığını azaltabilir.
Tehdit istihbarat analistleri, TA4922’nin yüksek tempoda çalıştığını, çok sayıda kampanya başlattığını ve araçlarını sıkça değiştirdiğini belirtti. Grubun altyapısı ve kötü amaçlı yazılım cephaneliği zamanla gelişti; böylece çok çeşitli organizasyonları hedef alırken güvenlik kontrolleri ve tespit çabalarına uyum sağladı.
Avrupa’ya yayılma, siber suç gruplarının giderek tek bir bölgeye odaklanmak yerine coğrafi sınırları aşarak faaliyet gösterdiği daha geniş bir eğilimi yansıtıyor. Araştırmacılar, TA4922’nin son kampanyalarının geleneksel devlet destekli siber casusluk operasyonlarıyla bağlantılı değil, maddi motivasyonlu olduğunu düşünüyor.