資安業者 Proofpoint 發布分析報告指出,一個以中文語系操作者為核心的網路犯罪組織
TA4922 正迅速擴大攻擊範圍,並疑似利用大型語言模型(LLM)輔助開發惡意程式。
從東亞擴張至歐洲與非洲
TA4922 以財務利益為主要動機,攻擊目的包括竊取資料、詐騙,以及轉售系統存取權限。該組織過去主要鎖定日本,也曾對台灣、韓國、新加坡與印度的組織發動攻擊,近期活動則已延伸至英國、德國、義大利與南非。
其誘餌內容經過在地化,會以目標地區語言冒充稅務機關、財務部門或人資團隊,主題多圍繞薪資、請款與人事通知。TA4922 也試圖將受害者從電子郵件引導至 LINE、WhatsApp 或 Microsoft Teams 等通訊應用程式,並在電子郵件資安工具可視範圍之外持續進行社交工程。
Proofpoint 指出,TA4922 所執行的獨立攻擊活動數量,超過其目前追蹤的任何其他網路犯罪組織,其行動模式也相當多元,會在不同攻擊活動中混合使用惡意軟體投遞、憑證釣魚與信用卡詐騙等手法。
快速演進的工具組,疑借助 LLM 輔助開發
TA4922 的惡意工具組更新速度明顯加快。近期攻擊活動投遞了新識別的後門程式 Atlas RAT,以及 Proofpoint 命名的兩個新型載入器家族 RomulusLoader 與 SilentRunLoader,同時仍持續使用長期沿用的惡意軟體 ValleyRAT(又名 Winos 4.0)。其酬載多透過 DLL 側載安裝,並從消費級檔案共享服務分段投遞。
延伸閱讀:惡意程式 ValleyRAT 多階段攻擊手法鎖定中文用戶
TA4922 也將 RomulusLoader 用於投遞 AnyDesk 等遠端管理工具(RMT),藉由混入合法軟體活動以規避偵測。
Proofpoint 以高信心程度評估,該組織正利用大型語言模型(LLM)快速建構 Python 惡意軟體,其依據之一是程式碼中仍保留未修改的占位符金鑰,被視為 AI 輔助開發的典型跡象。
監控功能引發間諜活動疑慮
Proofpoint 將 TA4922 歸入與 Silver Fox、Void Arachne 等組織相同的生態系。雖然後兩者已被其他研究人員連結至間諜活動,TA4922 仍被評估為以犯罪為主的獨立組織。即便如此,其惡意軟體內建的監控功能(如音訊錄製、攝影機擷取與鍵盤記錄)仍可能被出售給間諜行為者,或直接用於情報蒐集。
Proofpoint 指出,TA4922 的全球化態勢顯示,各地組織都應對持續演進的複雜威脅保持警覺,不應因其地理定向範圍而輕忽風險;此類組織也可能隨時快速擴大攻擊目標。
防護建議
- 實施應用程式允許清單(application allowlisting),限制未授權程式執行。
- 監控從使用者臨時目錄(temporary user directories)啟動的程式。
- 限制本機管理員(local administrator)權限,降低攻擊者取得高權限的機會。
本文轉載自 InfosecurityMagazine。