Μια κινεζική ομάδα εγκληματιών του κυβερνοχώρου έχει επεκτείνει τις δραστηριότητές της στην Ευρώπη, παρουσιάζοντας το κακόβουλο λογισμικό Atlas RAT, το οποίο απευθύνεται σε οργανισμούς με σκοπό την οικονομική απάτη και την κλοπή δεδομένων.
Η ομάδα, γνωστή ως TA4922, έρχεται με υλικό που προηγουμένως δεν είχε τεκμηριωθεί, και οι επιθέσεις της εστιάζουν σε περιοχές όπως η Γερμανία, η Ιταλία, το Ηνωμένο Βασίλειο και η Νότια Αφρική, σημειώνοντας σημαντική αύξηση από τον Μάρτιο του 2026.
Η εταιρεία κυβερνοασφάλειας Proofpoint κατατάσσει το TA4922 σε ένα νέο επίπεδο απειλής, σημειώνοντας ότι οι σκοποί επικεντρώνονται κυρίως σε μολύνσεις που εκκινούν από οικονομικά κίνητρα. Οι επιθέσεις δεν περιορίζονται μόνο στο διαδικτυακό έγκλημα, αλλά επεκτείνονται σε μια ευρύτερη στρατηγική απειλής, συμπεριλαμβανομένων προηγμένων τεχνικών παρακολούθησης, υποδεικνύοντας τη δυνατότητα πώλησης πληροφοριών σε ομάδες κατασκοπείας.
Η στρατηγική του TA4922 και οι τεχνολογίες που χρησιμοποιεί
Οι ερευνητές αναφέρουν πως οι υπάρχουσες καμπάνιες του TA4922 εστιάζουν σε τεχνικές ηλεκτρονικού ψαρέματος, χρησιμοποιώντας δόλωμα που μοιάζει με ειδοποιήσεις μισθοδοσίας ή κυβερνητικούς ελέγχους για να προσελκύσουν θύματα. Οι παράγοντες απειλής χρησιμοποιούν πλατφόρμες όπως το WhatsApp και το Microsoft Teams για επιπλέον επικοινωνία, επενδύοντας σε ειδικά σχέδια που προσαρμόζονται στην τοπική γλώσσα και κουλτούρα των θυμάτων.
Προηγμένο κακόβουλο λογισμικό Atlas RAT
Το Atlas RAT προσφέρει εκτενή δυνατότητα απομακρυσμένης πρόσβασης, παρέχοντας στους εισβολείς λειτουργίες όπως:
- Συλλογή πληροφοριών συστήματος
- Κλοπή συγκεκριμένων αρχείων
- Εγκατάσταση πρόσθετων κακόβουλων στοιχείων
- Καταγραφή πληκτρολογήσεων
- Λήψη στιγμιότυπων οθόνης
- Εγγραφή ήχου και εικόνας μέσω webcam
- Διαχείριση εντολών για επανεκκίνηση ή τερματισμό συστήματος
Οι λειτουργίες αυτές περιλαμβάνουν μηχανισμούς αντίστασης σε εργαλεία ανάλυσης, καθιστώντας τους δόλιους κωδικούς πιο δύσκολους να εντοπιστούν από τα παραδοσιακά συστήματα ασφάλειας.
Πηγή: Proofpoint
Νέα κακόβουλα εργαλεία και μελλοντικές απειλές
Τον τελευταίο καιρό, οι ερευνητές έχουν ανακαλύψει δύο νέα εργαλεία που συνδέονται με τον TA4922: το RomulusLoader και το SilentRunLoader. Το πρώτο εκτελεί πρόσθετα ωφέλιμα φορτία με τη χρήση νομιμοποιημένων εργαλείων απομακρυσμένης διαχείρισης, όπως το AnyDesk. Το SilentRunLoader, από την άλλη πλευρά, εστιάζει στην κλοπή δεδομένων από δημόσιες και κυβερνητικές υπηρεσίες.
Μάλιστα, το RomulusLoader έχει χρησιμοποιηθεί σε επιθέσεις σε γερμανικές οργανώσεις. Οι ερευνητές προειδοποιούν πως ο TA4922 επιδεικνύει ταχύτητα και πολυπλοκότητα στις καμπάνιες του, επικεντρώνοντας την προσοχή τους σε στοχευμένες ομάδες σε διαφορετικές χώρες.
Πηγή: Proofpoint
Η απειλή του TA4922 για τον κυβερνοχώρο στην Ελλάδα
Η δραστηριότητα του TA4922 είναι ένας σημαντικός κίνδυνος για τις ελληνικές επιχειρήσεις, καθώς η χώρα διατηρεί αρκετές κύριες διεπιχειρησιακές συνδέσεις με τις προαναφερθείσες χώρες. Οι οργανισμοί στην Ελλάδα θα πρέπει να είναι προσεκτικοί στην αναγνώριση ύποπτων ειδοποιήσεων, ενώ η ενημέρωση των υπηρεσιών κυβερνοασφάλειας και η ανάπτυξη στρατηγικών άμυνας θα είναι κρίσιμη για την προστασία τους από τέτοιες απειλές.
Η πρόσφατη άνοδος της χρήσης ψηφιακών υπηρεσιών στη χώρα μας καθιστά την πρόληψη τέτοιων επιθέσεων ακόμα πιο επιτακτική. Περίπλοκα συστήματα παρακολούθησης και έγκαιρη ανίχνευση κακόβουλου λογισμικού θα μπορούσαν να είναι οι καθοριστικοί παράγοντες στην αποφυγή επακόλουθων διαρροών πληροφοριών.
Οι ομάδες ασφαλείας καταγράφουν το 54% των επιτυχημένων επιθέσεων και ειδοποιούν μόλις το 14%. Τα υπόλοιπα κινούνται στο περιβάλλον σας αόρατα.
Η λευκή βίβλος Picus δείχνει πώς η προσομοίωση παραβίασης και επίθεσης δοκιμάζει τους κανόνες SIEM και EDR σας, έτσι ώστε οι απειλές να σταματήσουν να ξεφεύγουν από τον εντοπισμό.
