TA4922 weitet Phishing-Kampagnen auf Europa und Südafrika aus

Zusammenfassung

Die nach Angaben von Proofpoint China-nahe Gruppe TA4922 hat ihren Aktionsradius über Ostasien hinaus ausgeweitet und richtet Phishing-Angriffe nun auch gegen Organisationen im Vereinigten Königreich, in Deutschland, Italien und Südafrika. Das Sicherheitsunternehmen beschreibt den Akteur als chinesischsprachige Bedrohungsgruppe, die bislang vor allem Ziele in Ostasien ins Visier nahm. Auffällig sind laut Proofpoint ein hohes operationelles Tempo und ein sich laufend veränderndes Arsenal an Schadsoftware. Dazu zählen bekannte Familien wie ValleyRAT, auch als Winos 4.0 bezeichnet, und Atlas RAT, auch als AtlasCross RAT bekannt, ebenso wie die bislang nicht dokumentierten Werkzeuge RomulusLoader und SilentRunLoader. Proofpoint sieht Überschneidungen mit Silver Fox, bewertet die Arbeitsweise der Gruppe aber stärker als cyberkriminell motiviert denn als Spionage. Im Mittelpunkt stehe der Versuch, Fernzugriff auf Umgebungen von Opfern zu erlangen, um daraus finanziellen Nutzen zu ziehen.

Nach Einschätzung von Proofpoint verfolgt TA4922 vor allem finanzielle Ziele. Das Unternehmen geht davon aus, dass die Gruppe auf dauerhaften oder unmittelbaren Fernzugriff auf kompromittierte Umgebungen aus ist, um daraus Gewinne zu erzielen. Als mögliche Ziele nennt Proofpoint Datendiebstahl, Betrug, den Weiterverkauf von Zugriffen oder den Erhalt eines persistenten Zugangs.

In den vergangenen Monaten setzte die Gruppe dabei verstärkt auf Phishing-Kampagnen mit Ködern aus dem Personal- und Geschäftsumfeld. Diese Kampagnen dienten laut Proofpoint dem Abgriff von Zugangsdaten, Betrugsversuchen und der Verteilung von Schadsoftware. Eingesetzt wurden dabei unter anderem Atlas RAT, RomulusLoader und SilentRunLoader.

Neben der geografischen Ausweitung hebt Proofpoint eine weitere Veränderung hervor: Die Angreifer versuchen demnach, Unterhaltungen aus der E-Mail-Kommunikation in externe Kanäle zu verlagern. Genannt werden LINE, WhatsApp und Microsoft Teams. Auf diesem Weg könne die Gruppe Sicherheitskontrollen in Unternehmen umgehen und anschließend Daten stehlen oder Schadsoftware ausliefern.

Proofpoint verfolgt die Aktivitäten unter der Bezeichnung TA4922 und beschreibt den Akteur als eine Gruppe, die bereits jetzt mehr eigenständige Kampagnen durchführt als jeder andere Bedrohungsakteur, den das Unternehmen beobachtet. Zugleich verweist Proofpoint darauf, dass die Fähigkeiten der eingesetzten Malware auch Überwachungsfunktionen umfassen. Obwohl die Gruppe nach Bewertung des Unternehmens finanziell motiviert ist, könnten diese Fähigkeiten auch von Spionagegruppen genutzt oder an diese verkauft werden.

Die beobachtete Ausweitung auf Ziele im Vereinigten Königreich, in Deutschland, Italien und Südafrika markiert damit eine deutliche Verbreiterung des bisherigen Fokus. Proofpoint ordnet TA4922 weiterhin als chinesischsprachigen Akteur mit Schwerpunkt auf Ostasien ein, sieht aber nun eine globalere Reichweite der Kampagnen. Das Unternehmen spricht in diesem Zusammenhang von einer Bedrohung, die ihre Taktiken schnell auf zusätzliche Ziele ausdehnen und in größerem Maßstab einsetzen kann.

TA4922 weitet Phishing-Kampagnen auf Europa und Südafrika aus

Ähnliche Artikel

Neueste Artikel