Nhóm tội phạm mạng Trung Quốc TA4922 mở rộng quy mô tấn công với tốc độ kỷ lục

Nhóm tội phạm mạng nói tiếng Trung được theo dõi dưới mã hiệu TA4922 đang gia tăng hoạt động và mở rộng sang các khu vực địa lý mới, theo báo cáo từ Proofpoint.

Dựa vào các kỹ thuật xã hội (social engineering), nhóm hacker này liên tục cập nhật kho vũ khí của mình, phát tán nhiều họ mã độc khác nhau và tham gia vào các kế hoạch lừa đảo lấy thông tin xác thực (credential phishing) cũng như các sơ đồ gian lận như trộm cắp thẻ tín dụng.

Hacker Trung Quốc

Mặc dù một số hoạt động của TA4922 trùng lặp với các tác nhân đe dọa được theo dõi là Silver Fox và Void Arachne, nhóm này không dường như tham gia vào hoạt động gián điệp, không giống như các nhóm kia.

Proofpoint nhận định: "Các chiến dịch do TA4922 thực hiện phù hợp hơn với mục tiêu tội phạm mạng bất chấp kỹ thuật tiên tiến của tác nhân này."

Công ty an ninh mạng này đã theo dõi các chiến dịch email độc hại của TA4922 hơn một năm và tin rằng trọng tâm của họ là để có quyền truy cập từ xa vào các tổ chức nạn nhân nhằm đánh cắp dữ liệu, bán quyền truy cập, gian lận và các hoạt động có động cơ tài chính khác.

Chiến thuật và Mục tiêu mới

Sử dụng các chủ đề về nhân sự (HR), thuế tiền lương và hóa đơn, nhóm hacker cố gắng dụ nạn nhân nhấp vào các liên kết độc hại để tải xuống tải trọng độc hại hoặc vô tình chia sẻ thông tin đăng nhập của họ.

Về mặt lịch sử, băng đảng tội phạm mạng này đã gửi từ vài trăm đến vài nghìn tin nhắn cho mỗi chiến dịch, được điều chỉnh cho các khu vực hoặc chức năng kinh doanh cụ thể, nhắm mục tiêu đến các tổ chức tại Nhật Bản, Đài Loan, Hàn Quốc, Singapore và Ấn Độ.

Gần đây, nhóm cũng bắt đầu nhắm mục tiêu đến các tổ chức châu Âu tại Anh, Đức và Ý, cũng như các thực thể ở Nam Phi.

TA4922 cũng được nhìn thấy đang tung ra các chiến dịch lừa đảo thông tin xác thực và mạo danh, tìm cách chuyển giao tiếp từ email sang các kênh ngoài băng tần (out-of-band channels), bao gồm các nền tảng nhắn tin như LINE, WhatsApp hoặc Microsoft Teams.

"Khi giao tiếp chuyển sang các nền tảng đó, tác nhân có vị trí tốt hơn để mở rộng kỹ thuật xã hội, thu thập thông tin liên hệ hoặc phân phối mã độc ngoài tầm nhìn của bảo mật email truyền thống," Proofpoint cho biết.

Các loại mã độc được sử dụng

Vào tháng 3, tác nhân đe dọa đã sử dụng mồi nhử nhân sự trong các chiến dịch nhắm mục tiêu đến các tổ chức tại Nhật Bản với backdoor Atlas RAT và trình tải mã độc RomulusLoader.

Vào tháng 4, nhóm này đã sử dụng mồi nhử nhân sự và cơ sở hạ tầng trước đó trong các cuộc tấn công Atlas RAT chống lại các tổ chức tại Anh và Đức, nhưng chuyển sang mồi nhử giao tiếp dịch vụ khách hàng trong một chiến dịch khác.

Nhiều chiến dịch tháng 4 do TA4922 thực hiện dựa vào RomulusLoader để cài đặt các công cụ Quản lý và Giám sát Từ xa (RMM) hợp pháp, bao gồm AnyDesk và SyncFuture.

Cuối tháng 3, nhóm này đã nhắm mục tiêu đến các tổ chức tại Anh với trình tải và trình đánh cắp dựa trên Python SilentRunLoader để khai thác thông tin xác thực, cookie và thông tin duyệt web từ Google Chrome. Vào tháng 4, SilentRunLoader đã được sử dụng trong các cuộc tấn công chống lại các thực thể ở Đông Nam Á và Anh.

Theo Proofpoint, băng đảng tội phạm mạng này cũng đã được quan sát thấy sử dụng backdoor ValleyRAT (Winos4.0) và các họ mã độc khác trong các cuộc tấn công.

"Hiện tại, TA4922 đang tiến hành nhiều chiến dịch độc nhất hơn bất kỳ tác nhân đe dọa tội phạm mạng nào khác được theo dõi trong dữ liệu đe dọa của Proofpoint, chứng minh nhịp độ vận hành cao, sự đa dạng của các mồi nhử và nhiều mục tiêu. Mặc dù tác nhân được đánh giá là có động cơ tài chính, khả năng của mã độc bao gồm khả năng giám sát có thể được sử dụng bởi hoặc bán cho các nhóm gián điệp," Proofpoint lưu ý.