TokyoBlackHatNews

cyberpress.org 4分で読了

Proofpointが警告:TA4922がAtlas RATと複数のマルウェアローダーを展開

中国語話者によるサイバー犯罪エコシステムが急速に拡大しており、新たに特定された脅威アクター「TA4922」がその牽引役となっています。

Proofpointが最近追跡しているこの金銭目的のグループは、高度にカスタマイズされたソーシャルエンジニアリングを駆使して、東アジアおよびヨーロッパの組織を標的としています。

攻撃ペースの速さが際立つTA4922は、単純なクレデンシャルフィッシングから脱却し、新たに発見されたAtlas RAT、RomulusLoader、SilentRunLoaderなど、多彩な高度マルウェアを組み合わせた攻撃手法へと戦術を転換しています。

TA4922のキャンペーンは主に、日本・台湾・ドイツ・英国の組織を標的としています。

人事部門・税務当局・カスタマーサービスを装ったローカライズされた偽装コンテンツを使い、GoFileやMediaFireといった正規のファイル共有プラットフォームでホストされた悪意あるZIPまたはIMGファイルを被害者にダウンロードさせます。

最近のTA4922キャンペーンの中核をなすのがAtlas RATです。これは完全な機能を備えたモジュール型バックドアで、一見無害な添付ファイル内でのDLLサイドローディングによって配信され、広範なアンチサンドボックスチェックを実行します。

具体的には、ハイパーバイザーのDNSサフィックス、Windows Defender Application Guard環境、コンテナ実行サービスの存在を確認してから処理を進めます。

環境が安全と判断されると、直接システムコール経由でメモリを確保し、XOR復号したシェルコードを実行します。

最終的には、コマンド&コントロール(C2)サーバーからコアモジュールをダウンロードし、システム情報の収集・永続的アクセスの確立・キーロガーやWebカムレコーダーといった監視ツールの展開を行います。

これと並行して、グループはRomulusLoaderも導入しています。これは正規のVulkan Graphics APIコンポーネントを悪用するC言語ベースのカスタムローダーです。

悪意あるDLLをサイドロードすることで、RomulusLoaderは埋め込まれたペイロードを復号し、svchost.exeなどの正規システムプロセスにインジェクションします。

注目すべき点として、TA4922はこのローダーを第一段階の攻撃手段として利用し、AnyDeskや中国製RMMツールであるSyncFutureといった正規のリモート監視・管理(RMM)ツールを展開することで、企業ネットワークのトラフィックに巧みに溶け込みます。

急速な開発サイクルをさらに裏付けるように、TA4922はSilentRunLoaderも展開しています。これはPythonベースの情報窃取マルウェアで、大規模言語モデル(LLM)によって生成されたと見られています。

生のPythonコードにはLLMのプレースホルダーテキストがそのまま残っており、自動化された高速なマルウェア開発アプローチが浮き彫りになっています。

さらに攻撃ツールを補完するものとして、このグループはWinos4.0(ValleyRAT)フレームワークの大幅に改変されたバージョンも使用しています。

最近の亜種は標準バージョンより大幅に肥大化したコードベースを持ち、エンドポイントの基本スキャンを回避するためのジャンクコードが詰め込まれているほか、RC4キーを使用してキャンペーン識別情報を隠蔽するため、設定情報を完全暗号化しています。

Proofpointの調査によると、TA4922は被害者とのやり取りをアウトオブバンドに移行させようとすることが多いとされています。最初のフィッシングメールでは、LINEやWhatsAppといった暗号化メッセージングプラットフォームでの会話継続を標的に促すケースが多く見られます。

この手法により、脅威アクターは企業のメールセキュリティ境界を迂回し、ユーザーに対してソーシャルエンジニアリングやマルウェア配信を直接続行することができます。

こうした急速な進化への対策としては、アプリケーションの厳格な許可リスト管理、ローカル管理者権限の制限、一時ユーザーディレクトリから実行される実行ファイルの積極的な監視が有効です。

セキュリティチームは、最近のTA4922キャンペーンに関連する以下の侵害指標(IOC)を監視してください。

注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISPやVirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻して使用してください。

翻訳元: https://cyberpress.org/ta4922-deploys-malware-loaders/

ソース: cyberpress.org
#Atlas RAT #DLLサイドローディング #Proofpoint #RomulusLoader #SilentRunLoader #TA4922 #フィッシング #マルウェア #中国語話者サイバー犯罪 #脅威インテリジェンス

関連記事

Claude Codeを偽装して展開される、ファイルレス .NET インフォスティーラー

GoogleがAIディープフェイクの脅威に対するAndroid保護機能を追加

フィッシング攻撃の進化——サイバー犯罪者が情報窃取型マルウェアへ移行