新たに確認された中国語話者のサイバー犯罪グループが、東アジアを起点にヨーロッパやアフリカへと活動範囲を広げています。同グループは、企業ネットワークへの侵入に使用するマルウェアも急速に刷新していることが明らかになりました。
Proofpointの新たな分析レポートによると、「TA4922」として追跡されているこのアクターは金銭的な動機を持ち、データ窃取・詐欺・アクセス権の転売を目的として被害者システムへのリモートアクセス取得に注力しています。Proofpointが現在追跡しているサイバー犯罪アクターの中で、最多のキャンペーン種別を展開しているグループです。
その活動は異例なほど多岐にわたっており、マルウェア配布、認証情報のフィッシング、クレジットカード詐欺といった直接的な不正行為を、異なるキャンペーン形式で組み合わせています。
東アジアからヨーロッパ・アフリカへ
これまで主に日本を標的としていた同グループは、台湾・韓国・シンガポール・インドの組織も攻撃対象に含めています。さらに近月のキャンペーンでは、英国・ドイツ・イタリア・南アフリカにまで攻撃の手が伸びています。
フィッシングの囮(おとり)コンテンツはターゲットの言語で丁寧にローカライズされており、税務当局・財務部門・人事チームを装った給与・請求書・人事通知を模したものとなっています。
TA4922はさらに、被害者をメールから LINE・WhatsApp・Microsoft Teams といったメッセージングアプリへ誘導しようとします。これにより、メールセキュリティの監視外でソーシャルエンジニアリングを継続することが可能になります。
類似キャンペーンの詳細:Silver Foxのサイバー作戦、二重スパイ活動へのシフトが明らかに
AI支援による急速に変化するツールセット
同グループのツール構成は急速に変化していると報告されています。最近のキャンペーンでは、新たに確認されたバックドア「Atlas RAT」とともに、Proofpointが「RomulusLoader」および「SilentRunLoader」と命名した2つの新しいローダーファミリーが展開されました。これらに加え、Winos 4.0としても知られる ValleyRATなど従来から使用されているマルウェアも引き続き使用されています。
ペイロードは通常、DLLサイドローディングを通じてインストールされ、一般向けのファイル共有サービスを経由してステージングされています。
TA4922は正規ソフトウェアへの偽装も巧みに活用しており、RomulusLoaderを用いてAnyDesKなどのリモート管理ツール(RMT)をドロップします。Proofpointは高い確度で、同グループがPythonマルウェアを迅速に構築するために大規模言語モデル(LLM)を活用していると評価しています。その根拠として、コード内にデフォルトのプレースホルダーキーがそのまま残されていることなど、LLM利用を示す特徴的な痕跡が挙げられています。
Proofpointは、TA4922をSilver Foxおよび Void Arachneクラスターと同じ広範なエコシステムに関連付けています。両クラスターは他の研究者によりスパイ活動との関連が指摘されていますが、Proofpointは同グループを独立した犯罪目的のグループと評価しています。それでも、音声・Webカメラ・キーロギングなどの監視機能を持つ同グループのマルウェアは、スパイ活動を行うアクターへの販売や利用も十分に考えられます。
「このアクターが持つグローバルな性質は、地理的な標的に関係なく、組織が新たかつ複雑な脅威を常に意識すべきであることを示しています。このようなアクターは、戦術を迅速に拡大・スケールアップして、いつでもより多くのターゲットを攻撃できます」と同社は報告書に記しています。
リスク軽減策としてProofpointは、アプリケーションの許可リスト(allowlist)の運用、一時的なユーザーディレクトリから起動するプログラムの監視、そしてローカル管理者権限の制限を組織に推奨しています。
翻訳元: https://www.infosecurity-magazine.com/news/ta4922-global-expansion/
