TA4922借钓鱼投放Atlas RAT扩大多国入侵
摘要
2026年6月4日,Proofpoint披露其追踪的威胁行为体TA4922近期在全球范围内加大活动,使用间谍型远程访问木马Atlas RAT对多国组织发起钓鱼传播与入侵,影响范围包括东亚、南非,并扩展至德国、意大利、英国等欧洲国家。该活动通过WhatsApp、LINE和Microsoft Teams发送带有工资单、发票、税务审计、增值税申报或政府通知等诱饵信息,引导受害者打开被植入的文档以投放Atlas RAT。该木马可实现插件与载荷下载、系统侦察、文件与注册表操作、键盘记录、截图、音频与摄像头录制、浏览器历史窃取以及系统关机/重启等控制。研究人员还发现新型加载器RomulusLoader,TA4922可借助AnyDesk、SyncFuture等远程管理工具进行进程操纵,以下载并执行额外载荷;其活动自3月起上升,4月最为活跃。
正文
## 事件背景 近期,网络安全事件涉及一个名为TA4922的黑客组织,其使用的间谍软件Atlas RAT在全球范围内造成了严重影响,尤其是在欧洲和东南亚地区。该组织的攻击目标包括德国、意大利和英国等国家的多家机构,受害者主要为企业和政府机构。TA4922的活动自3月以来显著增加,4月的攻击最为频繁,显示出其对网络安全的威胁。 ## 攻击手法 TA4922利用多种社交媒体平台(如WhatsApp、LINE和Microsoft Teams)进行钓鱼攻击,诱使用户下载恶意文档,从而植入Atlas RAT。这种远程访问木马允许攻击者完全控制受感染的系统,包括下载插件、记录键盘输入、截屏、录音、访问摄像头和浏览历史。此外,研究人员发现了一个新的恶意软件加载器RomulusLoader,TA4922利用合法的远程管理工具(如AnyDesk和SyncFuture)来下载和执行额外的恶意负载。该组织的攻击手法多样,且频率高于其他网络犯罪团伙。 ## 影响评估 此次网络安全事件的主要原因是黑客利用社交工程手段进行钓鱼攻击,导致多个国家的企业和政府机构数据泄露和财务损失。由于Atlas RAT的间谍功能,受害者的敏感信息可能被窃取并在暗网出售,进一步加剧了网络安全风险。 ## 处置建议 针对TA4922的攻击,网络安全专家建议加强员工的安全意识培训,提升对钓鱼邮件的识别能力。同时,企业应部署先进的安全防护工具,定期更新系统和软件,以防止恶意软件的入侵。此外,建议使用多因素认证和网络流量监控等措施,及时发现和响应潜在的安全威胁。
标签
- event:网络钓鱼事件
- group:银狐
- silverfox
- tag:Atlas RAT
- tag:RomulusLoader
- tag:银狐
- threatbook
- threat_intelligence
扩展字段
{
"attack_method": {
"attack_type": null,
"attck_count": 0,
"is_command": null,
"is_new_attack": null
},
"event_types": [
"网络钓鱼事件"
],
"gpt_tags": [
"银狐",
"Atlas RAT",
"RomulusLoader"
],
"malware_name": null,
"reference_links": [
"https://computerhoy.20minutos.es/ciberseguridad/hackers-chinos-estan-utilizando-un-nuevo-malware-atlas-rat-para-realizar-ciberataques-europa_6979001_0.html"
],
"related_anonymous": "银狐",
"target_area": null,
"target_country": [
"意大利",
"英国",
"德国"
],
"target_industry_type": [
"国央企"
]
}