Nhóm tội phạm mạng Trung Quốc TA4922 mở rộng quy mô tấn công với tốc độ kỷ lục

Nhóm tội phạm mạng nói tiếng Trung được theo dõi dưới mã định danh TA4922 đang gia tăng cường độ hoạt động và mở rộng sang các khu vực địa lý mới, theo báo cáo từ Proofpoint.

Hacker Trung Quốc

Dựa chủ yếu vào kỹ thuật xã hội (social engineering), nhóm hacker này liên tục cập nhật kho vũ khí của mình. Họ không chỉ phát tán nhiều họ mã độc khác nhau mà còn tham gia vào các kế hoạch lừa đảo qua email và đánh cắp thông tin đăng nhập, cũng như các hoạt động gian lận như trộm cắp thẻ tín dụng.

Mục tiêu tài chính thay vì gián điệp

Mặc dù một số hoạt động của TA4922 có sự trùng lặp với các tác nhân đe dọa được theo dõi là Silver Fox và Void Arachne, nhưng nhóm này dường như không tham gia vào hoạt động gián điệp như các cụm tác nhân kia.

Proofpoint nhận định: "Các chiến dịch do TA4922 thực hiện phù hợp hơn với các mục tiêu tội phạm mạng bất chấp các kỹ thuật tấn công tiên tiến của tác nhân này."

Công ty an ninh mạng này đã theo dõi các chiến dịch email độc hại của TA4922 trong hơn một năm và tin rằng trọng tâm của họ là thu được quyền truy cập từ xa vào các tổ chức nạn nhân để đánh cắp dữ liệu, bán quyền truy cập, lừa đảo và các hoạt động có động cơ tài chính khác.

Chiến thuật tấn công đa dạng

Sử dụng các chủ đề về nhân sự (HR), thuế tiền lương và hóa đơn, nhóm hacker này cố gắng dụ nạn nhân nhấp vào các liên kết độc hại để tải xuống payload độc hại hoặc vô tình chia sẻ thông tin đăng nhập của họ.

Về mặt lịch sử, băng đảng tội phạm mạng này đã gửi từ vài trăm đến vài nghìn tin nhắn cho mỗi chiến dịch, được điều chỉnh cho các khu vực hoặc chức năng kinh doanh cụ thể, nhắm mục tiêu đến các tổ chức tại Nhật Bản, Đài Loan, Hàn Quốc, Singapore và Ấn Độ.

Gần đây, nhóm cũng bắt đầu nhắm đến các tổ chức tại Châu Âu bao gồm Anh, Đức và Ý, cũng như các thực thể tại Nam Phi.

TA4922 cũng được quan sát thấy đang tung ra các chiến dịch lừa đảo thông tin xác thực và giả mạo, tìm cách chuyển giao tiếp từ email sang các kênh ngoài băng tần (out-of-band), bao gồm các nền tảng nhắn tin như LINE, WhatsApp hoặc Microsoft Teams.

"Khi giao tiếp chuyển sang các nền tảng đó, tác nhân có vị trí tốt hơn để mở rộng kỹ thuật xã hội, thu thập thông tin liên hệ hoặc cung cấp mã độc vượt qua tầm nhìn của bảo mật email truyền thống," Proofpoint cho biết.

Sử dụng nhiều loại mã độc

Vào tháng 3, tác nhân đe dọa này đã sử dụng mồi nhân sự trong các chiến dịch nhắm mục tiêu đến các tổ chức tại Nhật Bản với backdoor Atlas RAT và trình tải mã độc RomulusLoader.

Vào tháng 4, nhóm này sử dụng mồi nhân sự và cơ sở hạ tầng cũ trong các cuộc tấn công Atlas RAT nhằm vào các tổ chức tại Anh và Đức, nhưng chuyển sang mồi giao tiếp dịch vụ khách hàng trong một chiến dịch khác.

Nhiều chiến dịch tháng 4 do TA4922 thực hiện dựa vào RomulusLoader để cài đặt các công cụ Quản lý và Giám sát Từ xa (RMM) hợp pháp, bao gồm AnyDesk và SyncFuture.

Cuối tháng 3, nhóm này nhắm mục tiêu đến các tổ chức tại Anh với trình tải mã độc dựa trên Python SilentRunLoader và stealer để đánh cắp thông tin đăng nhập, cookie và thông tin duyệt web từ Google Chrome. Vào tháng 4, SilentRunLoader được sử dụng trong các cuộc tấn công chống lại các thực thể ở Đông Nam Á và Anh.

Theo Proofpoint, băng đảng tội phạm mạng này cũng đã được quan sát thấy sử dụng backdoor ValleyRAT (Winos4.0) và các họ mã độc khác trong các cuộc tấn công.

"Hiện tại, TA4922 đang tiến hành nhiều chiến dịch độc nhất hơn bất kỳ tác nhân đe dọa tội phạm mạng nào khác được theo dõi trong dữ liệu đe dọa của Proofpoint, chứng minh nhịp độ vận hành cao, nhiều loại mồi nhử và nhiều mục tiêu khác nhau. Trong khi tác nhân được đánh giá là có động cơ tài chính, các khả năng của mã độc bao gồm khả năng giám sát có thể được sử dụng bởi hoặc bán cho các nhóm gián điệp," Proofpoint lưu ý.