TA4922として追跡されている中国語圏のサイバー犯罪グループが活動を激化させ、新たな地域へと拡大していることをProofpointが報告しています。
このハッキンググループはソーシャルエンジニアリングを駆使しながら攻撃手段を継続的に更新しており、複数のマルウェアファミリーを配布するとともに、認証情報フィッシングやクレジットカード窃取などの詐欺スキームにも関与しています。
TA4922の活動の一部は、Silver FoxやVoid Arachneとして追跡されている脅威アクターと重複していますが、これらのクラスターとは異なり、同グループはスパイ活動には関与していないとみられています。
「TA4922に帰属するキャンペーンは、高度な手口を持つアクターであるにもかかわらず、サイバー犯罪的な目的に、より近い形で展開されています」とProofpointは述べています。
同サイバーセキュリティ企業は1年以上にわたりTA4922の悪意あるメールキャンペーンを追跡しており、同グループの目的はデータ窃取、アクセス転売、詐欺、その他の金銭的動機に基づく活動のために被害組織へのリモートアクセスを獲得することにあると分析しています。
このハッキンググループはHR(人事)、給与税、請求書をテーマとした内容を活用し、被害者を悪意あるリンクへ誘導して不正なペイロードをダウンロードさせたり、気づかないうちに認証情報を共有させようとしています。
これまで、このサイバー犯罪グループは1キャンペーンあたり数百から数千件のメッセージを送信しており、特定の地域や業務機能に合わせてカスタマイズした内容で日本、台湾、韓国、シンガポール、インドの組織を標的にしてきました。
最近では、英国、ドイツ、イタリアの欧州組織や南アフリカの事業体も標的にし始めています。
TA4922は認証情報フィッシングや偽装キャンペーンも展開しており、メールからLINE、WhatsApp、Microsoft Teamsなどのメッセージングプラットフォームを含むアウトオブバンドチャネルへとコミュニケーションを移行させようとしていることも確認されています。
「コミュニケーションがそれらのプラットフォームに移行すると、脅威アクターはソーシャルエンジニアリングを継続したり、連絡先情報を収集したり、従来のメールセキュリティの監視外でマルウェアを配信したりする有利な立場に置かれます」とProofpointは説明しています。
3月には、この脅威アクターがHRをルアーに使ったキャンペーンで、Atlas RATバックドアとRomulusLoaderマルウェアローダーを用いて日本の組織を標的にしました。
4月には、英国とドイツの組織を対象としたAtlas RAT攻撃にHRルアーと以前のインフラを使用する一方、別のキャンペーンではカスタマーサービス関連のルアーに切り替えました。
4月にTA4922に帰属する複数のキャンペーンでは、RomulusLoaderを利用してAnyDeskやSyncFutureなどの正規のリモート監視・管理(RMM)ツールをインストールしていました。
3月末には、Pythonベースのローダー兼スティーラーであるSilentRunLoaderを使って英国の組織を標的とし、Google Chromeから認証情報、Cookie、ブラウジング情報を窃取しました。4月には、SilentRunLoaderが東南アジアと英国の事業体への攻撃にも使用されています。
Proofpointによると、このサイバー犯罪グループはValleyRAT(Winos4.0)バックドアやその他のマルウェアファミリーも攻撃に使用していることが確認されています。
「TA4922は現在、Proofpointの脅威データで追跡されているあらゆるサイバー犯罪脅威アクターの中で最多のユニークなキャンペーンを実施しており、高い作戦テンポ、多様なルアー、複数の目的を持つことを示しています。同アクターは金銭的動機によるものと評価されていますが、使用するマルウェアの機能には監視への転用可能性も含まれており、スパイグループに利用されたり売却されたりするリスクがあります」とProofpointは指摘しています。
翻訳元: https://www.securityweek.com/chinese-cybercrime-group-ta4922-in-spotlight-for-record-campaign-pace/
