Sebuah kelompok kejahatan dunia maya berbahasa Tiongkok telah memperluas sasarannya ke wilayah Eropa, menyebarkan malware yang sebelumnya tidak terdokumentasi dan pintu belakang Atlas.
Dilacak sebagai TA4922, pelaku ancaman dikaitkan dengan serangan bermotif finansial yang bertujuan untuk menembus jaringan target untuk penipuan, pencurian data, dan penjualan akses.
TA4922 sebelumnya menargetkan organisasi di Asia Timur, namun kampanye terbaru berfokus pada entitas di Jerman, Italia, Inggris, dan Afrika Selatan.
Para peneliti di perusahaan keamanan siber Proofpoint mencatat bahwa pembagian TA4922 tumpang tindih dengan aktivitas yang dilaporkan sebelumnya ‘Rubah Perak’ dan ‘Void Arachne. Namun, cluster aktivitas dilacak secara terpisah karena lebih konsisten dengan kejahatan dunia maya dibandingkan spionase.
Sejak bulan Maret, aktivitas TA4922 telah meningkat tajam, dan sejak bulan April, aktivitas TA4922 telah menunjukkan keragaman operasional dan tempo tinggi yang belum pernah terjadi sebelumnya.
“TA4922 saat ini melakukan kampanye yang lebih unik dibandingkan aktor ancaman kejahatan dunia maya lainnya yang terlacak dalam data ancaman Proofpoint, menunjukkan tempo operasional yang tinggi, beragam umpan, dan berbagai tujuan,” kata Proofpoint dalam laporannya hari ini.
“Meskipun pelakunya dinilai memiliki motivasi finansial, kemampuan malware tersebut mencakup potensi pengawasan, yang dapat digunakan atau dijual kepada kelompok spionase.”
Penyerang menggunakan umpan phishing lokal yang dibuat untuk muncul sebagai pemberitahuan gaji, audit pajak, pengajuan PPN, pemberitahuan kepatuhan pemerintah, faktur, dan komunikasi sumber daya manusia.
Kelompok ancaman juga berupaya menghubungi korban melalui WhatsApp, LINE messenger, dan Microsoft Teams.
Sumber: Proofpoint
Atlas RAT dan pemuat khusus
Laporan titik bukti bahwa TA4922 telah memperluas persenjataan malware secara signifikan dan yakin bahwa peretas mungkin menggunakan model bahasa besar (LLM) untuk mempercepat pengembangan malware.
Kesimpulan ini didasarkan pada adanya nilai placeholder, komentar kode, dan pola yang umumnya dikaitkan dengan kode yang dihasilkan AI.
Laporan Proofpoint menyoroti Atlas RAT, sebuah trojan akses jarak jauh yang baru-baru ini diidentifikasi yang menawarkan kemampuan berikut kepada penyerang:
- Pengintaian sistem
- Pencurian file yang ditargetkan
- Unduhan plugin dan payload
- Keylogging
- Pengambilan tangkapan layar
- Rekaman audio dan webcam
- Perintah mematikan/reboot sistem
Malware ini memiliki beberapa pemeriksaan anti-sandbox dan anti-analisis, termasuk mencari nama pengguna dan kunci registri yang terkait dengan Microsoft Defender Application Guard, layanan “CExecSvc”, dan UUID OS.
Sumber: Proofpoint
Para peneliti juga menemukan pemuat malware baru bernama RomulusLoader, yang mengunduh dan mengeksekusi muatan tambahan menggunakan proses pengosongan, injeksi kode shell, dan eksekusi langsung.
RomulusLoader dikerahkan untuk meluncurkan alat manajemen jarak jauh yang sah seperti AnyDesk dan SyncFuture, alat perangkat lunak pemantauan jarak jauh yang populer di Tiongkok. Anehnya, yang terakhir ini digunakan dalam serangan yang menargetkan entitas Jerman.
Sumber: Proofpoint
Proofpoint juga mengidentifikasi pemuat dan pencuri informasi berbasis Python yang disebut SilentRunLoader, yang mencuri kredensial, cookie, dan data penjelajahan Google Chrome.
Malware tersebut disebarkan terhadap organisasi-organisasi di Inggris dan Asia Tenggara, menggunakan umpan yang meniru layanan pemerintah.
Terakhir, para peneliti melihat penerapan Winos4.0, keluarga malware yang telah didokumentasikan sebelumnya yang dilacak oleh Proofpoint sebagai ValleyRAT dan menyediakan serangkaian fitur akses jarak jauh yang lengkap kepada operator.
Menurut Proofpoint, TA4922 bertanggung jawab atas “kampanye yang lebih unik” dibandingkan aktor ancaman lain yang dilacak oleh perusahaan. Kelompok ini bergerak cepat dan menggunakan banyak umpan.
Menurut para peneliti, kemampuan malware yang digunakan oleh aktor ini memiliki “potensi pengawasan yang dapat digunakan atau dijual kepada kelompok spionase.”
Laporan Proofpoint mencakup indikator kompromi untuk malware dan infrastruktur perintah dan kontrol (C2) yang digunakan dalam serangan TA4922.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
