Çince konuşan bir siber suç grubu, daha önce Doğu Asya’daki kurumları hedef alırken şimdi Almanya, İtalya, Birleşik Krallık ve Güney Afrika’daki organizasyonlara yönelik saldırılar düzenliyor. Proofpoint araştırmacıları tarafından TA4922 olarak takip edilen tehdit aktörü, Atlas RAT adlı yeni bir uzaktan erişim truva atı ve RomulusLoader ile SilentRunLoader gibi özel yükleyiciler kullanıyor. Finansal motivasyonlu olduğu değerlendirilen grup, Mart ayından bu yana operasyonel çeşitliliğini önemli ölçüde artırırken, Proofpoint’in takip ettiği tüm siber suç grupları arasında en fazla benzersiz kampanyayı gerçekleştiren aktör konumunda bulunuyor.

TA4922 Atlas RAT Ve Yapay Zeka Destekli Kötü Amaçlı Yazılım Geliştirme Süreci

TA4922 Atlas RAT saldırıları kapsamında kullanılan kötü amaçlı yazılım, sistem keşfi, hedefli dosya çalma, eklenti ve yük indirme, tuş kaydı, ekran görüntüsü yakalama, ses ve webcam kaydı ile sistem kapatma/yeniden başlatma komutları gibi yetenekler sunuyor. Proofpoint araştırmacıları, tehdit aktörünün kötü amaçlı yazılım geliştirme sürecini hızlandırmak için büyük dil modellerini kullandığını düşünüyor. Bu değerlendirme, yapay zeka tarafından üretilen kodla ilişkilendirilen yer tutucu değerler, kod yorumları ve kalıpların varlığına dayanıyor.

Atlas RAT malware, Microsoft Defender Application Guard ile ilişkili kullanıcı adlarını ve kayıt defteri anahtarlarını, “CExecSvc” hizmetini ve işletim sistemi UUID’sini kontrol eden birkaç anti-sandbox ve anti-analiz mekanizması içeriyor. TA4922 RomulusLoader kullanımı, süreç saptırma, kabuk kodu enjeksiyonu ve doğrudan yürütme yoluyla ek yükleri indirip çalıştırıyor. Bu yükleyici, Almanya’daki kurumları hedef alan saldırılarda AnyDesk ve Çin’de popüler olan SyncFuture gibi meşru uzaktan yönetim araçlarını başlatmak için kullanıldı.

TA4922’nin Hedef Aldığı Sektörler Ve Kullandığı Sosyal Mühendislik Taktikleri

TA4922 Avrupa siber saldırıları, bordro bildirimleri, vergi denetimleri, KDV beyannameleri, devlet uyum bildirimleri, faturalar ve insan kaynakları iletişimleri gibi yerelleştirilmiş kimlik avı yemleri kullanıyor. Tehdit grubu ayrıca WhatsApp, LINE mesajlaşma uygulaması ve Microsoft Teams üzerinden kurbanlarla iletişim kurma girişimlerinde bulunuyor. Proofpoint araştırmacıları ayrıca, Birleşik Krallık ve Güneydoğu Asya’daki kurumları hedef alan, devlet hizmetlerini taklit eden yemler kullanan SilentRunLoader adlı Python tabanlı bir bilgi hırsızı tespit etti.

RomulusLoader çalışma prensibine genel bakış

TA4922 finansal motivasyonlu siber suç grubu olarak değerlendirilse de, kullanılan kötü amaçlı yazılımların yetenekleri, gözetleme potansiyeli taşıdığı için bu yeteneklerin casusluk grupları tarafından kullanılabileceği veya satılabileceği uyarısında bulunuluyor. Proofpoint raporu, TA4922’nin saldırılarında kullanılan kötü amaçlı yazılım ve komuta kontrol altyapısı için göstergeler de içeriyor.

Yorum Yap

İlgili Yazılar

Yapay Zeka Çağında Kurumların Gözünden Kaçan Tehdit: Tarayıcı Güvenliği
Yapay Zeka Çağında Kurumların Gözünden Kaçan Tehdit: Tarayıcı Güvenliği
Gallery

Yapay Zeka Çağında Kurumların Gözünden Kaçan Tehdit: Tarayıcı Güvenliği

Finans Sektöründe Sürekli Güvenlik Testi Neden Artık Bir Zorunluluk?
Finans Sektöründe Sürekli Güvenlik Testi Neden Artık Bir Zorunluluk?
Gallery

Finans Sektöründe Sürekli Güvenlik Testi Neden Artık Bir Zorunluluk?

HTTP/2 Bomb Saldırısı Tek Bir Makineyle Web Sunucularını Saniyeler İçinde Çökertiyor
HTTP/2 Bomb Saldırısı Tek Bir Makineyle Web Sunucularını Saniyeler İçinde Çökertiyor
Gallery

HTTP/2 Bomb Saldırısı Tek Bir Makineyle Web Sunucularını Saniyeler İçinde Çökertiyor

Acer Wave 7 Kullanıcılarına Acil Uyarı: Router’ınız Uzaktan Ele Geçirilebilir
Acer Wave 7 Kullanıcılarına Acil Uyarı: Router’ınız Uzaktan Ele Geçirilebilir
Gallery

Acer Wave 7 Kullanıcılarına Acil Uyarı: Router’ınız Uzaktan Ele Geçirilebilir

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.