中国語を使用するサイバー犯罪グループが活動範囲を欧州にまで拡大し、これまで確認されていなかった新型マルウェアおよびバックドア「Atlas」を展開していることが明らかになりました。
「TA4922」として追跡されているこの脅威アクターは、不正行為・データ窃取・アクセス販売を目的とした金銭的動機に基づく攻撃と関連しています。
TA4922はこれまで東アジアの組織を標的としていましたが、最近のキャンペーンではドイツ、イタリア、英国、南アフリカの組織に焦点を当てています。
セキュリティ企業Proofpointの研究者によると、TA4922の活動は過去に報告された「Silver Fox」および「Void Arachne」と重複する部分があるとされています。ただし、スパイ活動よりもサイバー犯罪としての性格が強いことから、別クラスターとして追跡されています。
3月以降、TA4922の活動は急増しており、4月からは前例のない多様な作戦と高いオペレーションテンポが観測されています。
「TA4922は現在、Proofpointの脅威データにおいて追跡中のいかなるサイバー犯罪脅威アクターよりも多くのユニークなキャンペーンを展開しており、高い活動頻度、多様な誘引手法、複数の目的を持っていることが示されています」と、Proofpointは本日公開したレポートの中で述べています。
「このアクターは金銭的動機によるものと評価されていますが、使用するマルウェアの機能にはサーベイランス(監視)の可能性も含まれており、スパイグループに使用・販売される可能性があります。」
攻撃者は給与通知、税務調査、VAT申告、政府のコンプライアンス通知、請求書、人事連絡などを装ったローカライズされたフィッシングルアーを使用しています。
また、このグループはWhatsApp、LINEメッセンジャー、Microsoft Teamsを通じて標的に接触を試みることも確認されています。
Atlas RATとカスタムローダー
検証のギャップ:自動ペネトレーションテストが答える問いは一つ。あなたには六つ必要です。
自動ペネトレーションテストツールは確かな価値を提供しますが、その設計は「攻撃者がネットワーク内を横断できるか」という一つの問いに答えるためのものです。コントロールが脅威をブロックするか、検知ルールが機能するか、クラウド設定が堅牢かどうかを検証するためのものではありません。
本ガイドでは、実際に検証すべき6つの攻撃対象領域を解説しています。
