Çince konuşan TA4922 grubu Avrupa’daki siber saldırılarda yeni Atlas RAT zararlı yazılımını kullanmaya başladı

Siber güvenlik şirketi Proofpoint, Çince konuşan ve maddi kazanç odaklı faaliyet gösterdiği değerlendirilen TA4922 adlı tehdit grubunun Avrupa'daki hedeflere yönelik saldırılarını artırdığını açıkladı.

Araştırmacılar, daha önce ağırlıklı olarak Doğu Asya'da faaliyet gösteren grubun son dönemde Almanya, İtalya, Birleşik Krallık ve Güney Afrika merkezli kurumları hedef aldığını belirtti.

Proofpoint tarafından yayımlanan raporda, TA4922'nin geçmişte raporlanan Silver Fox ve Void Arachne faaliyetleriyle bazı benzerlikler taşıdığı ifade edildi. Ancak grubun faaliyetlerinin daha çok siber suç amaçlı olması nedeniyle ayrı bir küme olarak takip edildiği kaydedildi.

“Benzersiz Kampanya Sayısında İlk Sırada”

Proofpoint açıklamasında, “TA4922 şu anda tehdit verilerimizde takip edilen tüm siber suç grupları arasında en fazla benzersiz kampanya yürüten aktör konumunda bulunuyor.” ifadelerine yer verildi.

Araştırmacılar, grubun Mart ayından itibaren faaliyetlerini önemli ölçüde artırdığını, Nisan ayından sonra ise daha önce görülmemiş düzeyde operasyonel çeşitlilik ve yoğunluk sergilediğini belirtti.

Raporda, “Grubun temel motivasyonunun finansal kazanç olduğu değerlendiriliyor. Ancak kullandığı zararlı yazılımların gözetleme amacıyla da kullanılabilecek yeteneklere sahip olduğu görülüyor.” değerlendirmesi yapıldı.

Yerelleştirilmiş Kimlik Avı Mesajları Kullanılıyor

Araştırmaya göre saldırganlar, hedef ülkelerin diline ve iş süreçlerine uygun hazırlanmış kimlik avı içerikleri kullanıyor.

Saldırılarda maaş bordroları, vergi denetimleri, KDV bildirimleri, devlet uyumluluk bildirimleri, faturalar ve insan kaynakları yazışmaları gibi içeriklerin taklit edildiği belirtildi.

Proofpoint ayrıca grubun mağdurlarla WhatsApp, LINE ve Microsoft Teams üzerinden iletişim kurmaya çalıştığını da tespit etti.

Atlas RAT Dikkat Çekti

Raporda öne çıkan zararlı yazılımlardan biri olan Atlas RAT, saldırganlara geniş kapsamlı uzaktan erişim imkânı sağlıyor.

Araştırmacılar, Atlas RAT'ın sistem keşfi yapabildiğini, belirli dosyaları çalabildiğini, ek zararlı bileşenler indirebildiğini ve tuş kayıtlarını toplayabildiğini belirtti.

Zararlı yazılımın ayrıca ekran görüntüsü alma, ses kaydı yapma, web kamerasını etkinleştirme ve sistemi yeniden başlatma veya kapatma komutları çalıştırma yeteneklerine sahip olduğu bildirildi.

Gelişmiş Analizden Kaçınma Teknikleri

Proofpoint, Atlas RAT'ın güvenlik analizlerinden kaçınmak amacıyla çeşitli koruma mekanizmaları içerdiğini açıkladı.

Bu mekanizmalar arasında Microsoft Defender Application Guard ile ilişkili kullanıcı adları ve kayıt defteri anahtarlarının kontrol edilmesi, belirli sistem hizmetlerinin aranması ve işletim sistemi kimlik bilgilerinin incelenmesi yer alıyor.

Yeni RomulusLoader ve SilentRunLoader Tespit Edildi

Araştırmacılar ayrıca RomulusLoader adlı yeni bir yükleyici zararlı yazılım keşfetti.

Bu yazılımın süreç gizleme teknikleri, kabuk kodu enjeksiyonu ve doğrudan çalıştırma yöntemleri kullanarak ek zararlı bileşenleri sisteme indirdiği belirtildi.

RomulusLoader'ın saldırılar sırasında AnyDesk ve Çin'de yaygın olarak kullanılan uzaktan izleme aracı SyncFuture gibi meşru yazılımları da çalıştırdığı aktarıldı.

Proofpoint ayrıca SilentRunLoader adı verilen Python tabanlı başka bir zararlı yazılımı da tespit etti. Bu yazılımın Google Chrome üzerinden kayıtlı kullanıcı bilgilerini, çerezleri ve tarayıcı verilerini çaldığı bildirildi.

Birleşik Krallık ve Güneydoğu Asya'daki hedeflere yönelik saldırılarda devlet kurumlarını taklit eden içeriklerle dağıtıldığı kaydedildi.

Yapay Zekâ Destekli Geliştirme Şüphesi

Proofpoint araştırmacıları, bazı zararlı yazılım örneklerinde bulunan açıklama notları, yer tutucu değerler ve kod kalıplarının büyük dil modelleriyle oluşturulan yazılımlarda görülen özelliklere benzediğini belirtti.

Araştırmacılar, bunun saldırganların zararlı yazılım geliştirme süreçlerini hızlandırmak için yapay zekâ araçlarından yararlanıyor olabileceğine işaret ettiğini ifade etti.

Raporda ayrıca TA4922'nin kullandığı komuta ve kontrol altyapılarına ilişkin teknik göstergelerin ve güvenlik tespit bilgilerinin paylaşıldığı belirtildi.

Kaynak: Beykozun Sesi