Китайскоязычная группа TA4922 в последние месяцы нацелилась на компании в Германии, Италии и Великобритании. В одном из сценариев сотрудник получает письмо, похожее на уведомление от бухгалтерии или налоговой службы, открывает вложение — и в сеть уже попадает вредоносный код.

Исследователи Proofpoint связывают эту активность с финансово мотивированными атаками. Цель у таких кампаний простая: взломать сеть, украсть данные, продать доступ или использовать его позже для новых атак.

История инцидента

TA4922 давно работает в Азии, но весной резко сместила фокус на Европу. По данным исследователей, с марта активность группы заметно выросла, а с апреля атаки стали идти чаще и разнообразнее.

Одна из причин, почему эта кампания выделяется на фоне обычного фишинга, — набор приманок. Жертвам присылают письма под видом расчётных листков, налоговых проверок, документов по НДС, уведомлений о комплаенсе, счетов и сообщений от отдела кадров. Отдельно злоумышленники пробуют выйти на контакт через WhatsApp, LINE и Microsoft Teams.

Внутри атак встречаются Atlas RAT, RomulusLoader, SilentRunLoader и Winos4.0, которую Proofpoint отслеживает как ValleyRAT. Это уже не одиночный вредоносный файл, а целая цепочка загрузчиков и модулей, рассчитанная на долгую работу внутри сети. О схожей логике атак мы уже писали в разборе кампаний против криптомошенников и в материале про ИИ в атаках вымогателей.

Что пошло не так в защите

Главная проблема — слишком правдоподобные приманки. Письмо с темой про зарплату, налоговую отчётность или внутренний запрос отдела кадров легко проходит через человеческий фактор, особенно если сотрудник ждёт похожий документ.

Вторая слабая точка — цепочка запуска. RomulusLoader умеет использовать process hollowing, внедрение shellcode и прямой запуск полезной нагрузки. Это помогает атакующим скрывать следы и запускать дополнительные инструменты уже после первоначального проникновения.

Atlas RAT даёт злоумышленникам стандартный набор возможностей удалённого доступа: разведку системы, кражу файлов, загрузку плагинов и модулей, снимки экрана, запись звука и видео с камеры, а также команды на выключение или перезагрузку. Дополнительно вредонос проверяет среду на признаки песочницы и анализа — в том числе ищет следы Microsoft Defender Application Guard и служебные ключи в реестре.

Отдельного внимания заслуживает Python-лоадер SilentRunLoader. Он крадёт учётные данные Chrome, cookies и данные браузинга. Для компании это уже не просто заражённый ноутбук, а риск захвата рабочих аккаунтов, сессий и внутренней переписки.

Уроки для читателя

Эта история снова показывает: атака редко начинается с «хакерского» взлома в киношном смысле. Чаще всё упирается в письмо, вложение, поддельный запрос или контакт через мессенджер. Если документ выглядит слишком срочным и слишком служебным, это повод остановиться, а не спешить с открытием.

Вторая важная мысль — защита должна смотреть не только на антивирус. Современные кампании используют загрузчики, отдельные модули и легитимные инструменты удалённого администрирования. Поэтому бизнесу нужны проверка почтовых фильтров, контроль запуска неизвестных файлов, сегментация сети и мониторинг аномалий в учётных записях.

Для домашнего пользователя вывод проще: не хранить критичные логины в браузере без защиты, не открывать вложения из неожиданных писем и держать в порядке обновления системы. Если вы работаете из кафе, аэропорта или отеля, подумайте и о дополнительных мерах защиты трафика, например о средстве для шифрования трафика на личных устройствах как одном из слоёв защиты, а не как волшебной кнопке.

Практические выводы и чек-лист

  • Проверяйте письма с темами про зарплату, налоги, НДС и кадровые документы дважды, особенно если отправитель просит срочно открыть файл.
  • Настройте фильтрацию вложений и запрет запуска неизвестных исполняемых файлов на рабочих компьютерах.
  • Закройте лишние права пользователей: не каждый сотрудник должен открывать документы и макросы вне своей зоны ответственности.
  • Следите за попытками входа в почту и корпоративные сервисы с необычных устройств и из непривычных стран.
  • Не храните пароли и активные сессии браузера без защиты, если на устройстве есть доступ к рабочим сервисам.
  • Обновляйте ОС, браузер и защитное ПО без задержек — многие загрузчики и RAT-пакеты рассчитывают на старые дыры.
  • Проводите короткие тренировки по фишингу для сотрудников: один раз объяснить недостаточно.
  • Если пользователь работает вне офиса, проверьте базовые настройки приватности и шифрования трафика до выхода из дома.
Поделиться: