TA4922扩展至欧非并迭代远控工具链
摘要
一支以盈利为目的、中文环境活跃的网络犯罪团伙TA4922在近月内快速扩张攻击版图并迭代其恶意工具链:攻击活动同时混用恶意软件投递、凭证钓鱼与信用卡盗刷等欺诈手段,核心目标是获取受害者系统的远程访问权限,用于数据窃取、金融欺诈以及倒卖“访问权”。其社会工程话术高度本地化,覆盖税务、财务与人事主题,并刻意将受害者从电子邮件引导至即时通讯工具以延长欺骗链路、规避邮件侧安全可见性。主要包含3个关键安全要点。 1、近月内,TA4922的地理覆盖从东亚扩展到欧洲与非洲:历史上重点攻击日本,同时针对中国台湾、韩国、新加坡、印度;近月内进一步触达英国、德国、意大利与南非,诱饵内容按目标语言与业务场景定制,常以工资单、发票、HR通知等为主题,提升打开率与执行率。 2、近月内,TA4922显著加速更新恶意软件体系并采用更隐蔽的投递与驻留方式:攻击链投递新识别的后门Atlas RAT,并使用两类新加载器RomulusLoader与SilentRunLoader,同时沿用ValleyRAT(又称Winos 4.0);常通过DLL侧加载实现落地与执行,并借助消费级文件共享服务进行分阶段载荷分发,降低基础设施暴露
正文
## 事件背景 该事件涉及一个名为TA4922的网络犯罪团伙,其活动范围从东亚扩展至欧洲和非洲,主要针对日本、台湾、韩国、新加坡和印度的组织。该团伙的目标是通过数据盗窃、欺诈和转售访问权限来获取经济利益,最近的活动已扩展至英国、德国、意大利和南非。受影响的对象包括多个国家的企业和组织。 ## 攻击手法 TA4922使用多种攻击手法,包括恶意软件投递、凭证钓鱼和信用卡盗窃。其工具链快速演变,最近的活动中使用了新识别的后门Atlas RAT,以及名为RomulusLoader和SilentRunLoader的加载器。此外,该团伙还使用了长期使用的恶意软件ValleyRAT(又名Winos 4.0)。攻击通常通过DLL侧载进行,恶意负载从消费者文件共享服务中分发。TA4922还利用RomulusLoader投放远程管理工具(RMT),如AnyDesk,并可能使用大型语言模型(LLMs)快速构建Python恶意软件,代码中留有未更改的占位符密钥。 ## 影响评估 该团伙的活动导致了广泛的经济损失和数据泄露风险。其通过社交工程手段,诱使受害者从电子邮件转移到LINE、WhatsApp和Microsoft Teams等消息应用程序,增加了攻击的隐蔽性和复杂性。其恶意软件的监控功能,包括音频、摄像头和键盘记录,可能被其他间谍行为者利用。 ## 处置建议 为降低风险,建议组织实施应用程序白名单,监控从临时用户目录运行的程序,并限制本地管理员权限。这些措施有助于提高网络安全防护能力,减少潜在的攻击面。
标签
- group:银狐
- silverfox
- tag:Atlas RAT
- tag:RomulusLoader
- tag:SilentRunLoader
- tag:ValleyRAT
- tag:Winos4.0
- tag:银狐
- threatbook
- threat_intelligence
扩展字段
{
"attack_method": {
"attack_type": null,
"attck_count": 0,
"is_command": null,
"is_new_attack": null
},
"event_types": [],
"gpt_tags": [
"ValleyRAT",
"SilentRunLoader",
"银狐",
"Atlas RAT",
"Winos4.0",
"RomulusLoader"
],
"malware_name": null,
"reference_links": [
"https://www.infosecurity-magazine.com/news/ta4922-global-expansion/"
],
"related_anonymous": "银狐",
"target_area": null,
"target_country": [
"中国台湾",
"韩国",
"意大利",
"新加坡",
"日本",
"印度",
"英国",
"德国",
"南非"
],
"target_industry_type": [
"政府"
]
}