Хакеры из Китая запустили троян Atlas RAT для атак на Евросоюз

Группировка TA4922 из Китая запустила волну атак на компании в Германии, Италии, Великобритании и ЮАР, применяя ранее неизвестный троян Atlas RAT. Зловред умеет красть файлы, писать звук с микрофона, перехватывать клавиатуру и снимать изображение с веб-камеры. Аналитики Proofpoint фиксируют резкий рост числа параллельных кампаний с марта.

TA4922 заметно выбивается из привычного образа китайских кибергрупп. Финансовая выгода у этих ребят стоит впереди классического шпионажа. Их влечёт продажа доступов к взломанным сетям, кража коммерческой информации и мошеннические схемы вокруг корпоративных финансов. При этом начинка их инструментов спокойно тянет и на полноценную слежку, что открывает перед группой второй фронт работы.

Раньше операторы TA4922 крутились почти исключительно в Восточной Азии. Сейчас вектор сместился к западу и югу. По наблюдениям Proofpoint, темп работы группы в апреле подскочил до уровня, который не показывает ни один другой отслеживаемый ими финансово мотивированный актор.

Под удар попали разные отрасли и регионы:

• производственные предприятия Германии и Италии;
• британские компании среднего бизнеса;
• организации финансового сектора в ЮАР;
• кадровые и бухгалтерские отделы внутри транснациональных холдингов;
• юридические фирмы, работающие с европейскими клиентами.

Стоит обратить внимание, что TA4922 ведёт сразу несколько независимых кампаний одновременно, и каждая из них собирается под конкретную страну с локализованным языком приманки и адаптированной легендой.

Точкой входа почти всегда остаётся социальная инженерия. Жертве прилетает письмо, замаскированное под расчётный лист, требование налоговой, декларацию по НДС, претензию от госоргана, счёт-фактуру или просьбу от отдела кадров. Стилистика подобрана так, чтобы получатель воспринял сообщение как рядовую корпоративную рутину и без раздумий открыл вложение.

Электронной почтой операторы группы не ограничиваются. В дело идут WhatsApp, LINE и Microsoft Teams. Корпоративные мессенджеры превратились в удобный канал доставки, потому что сотрудники привыкли получать через них рабочие файлы и редко относятся к таким сообщениям с той же настороженностью, что и к письмам от неизвестных адресатов.

Сам Atlas RAT представляет собой универсальный инструмент удалённого управления. После закрепления в системе он собирает данные о машине, выдаёт операторам доступ к нужным файлам, подгружает плагины и дополнительные модули под конкретные задачи. Перечень возможностей зловреда выглядит так:

• кейлоггинг и снятие скриншотов рабочего стола;
• запись звука с микрофона и видео с веб-камеры;
• скачивание и запуск произвольных полезных нагрузок;
• удалённое выключение и перезагрузка компьютера;
• сбор системной информации для профилирования жертвы.

Перед запуском троян проверяет окружение, чтобы не угодить в песочницу или виртуалку аналитиков. Он анализирует имя пользователя, ищет ветки реестра, связанные с Microsoft Defender Application Guard, проверяет наличие службы CExecSvc и сверяет UUID операционной системы. Если что-то выглядит как исследовательский стенд, выполнение прерывается.

Качество кода Atlas RAT говорит о зрелой разработке. Антианализ собран аккуратно, модульная архитектура позволяет добавлять новые функции без переписывания ядра, а связь с управляющим сервером сделана с прицелом на устойчивость. По сути, перед нами полноценный продукт со своим жизненным циклом, релизами и обновлениями.

Отмечается, что в коде Atlas RAT встречаются характерные комментарии, шаблонные заполнители и формулировки, которые типичны для проектов, собранных с помощью больших языковых моделей.

Гипотеза о применении ИИ при создании зловреда подкрепляется и темпом выпуска новых сборок. Proofpoint фиксирует у TA4922 необычно:

• высокую частоту обновлений;
• быструю адаптацию инструментов под разные кампании.

Генеративные модели позволяют закрывать рутинную часть работы за минуты, а не за дни, и группа явно этим пользуется.

Подобный сдвиг прослеживается у целого ряда финансово мотивированных команд. Нейросеть помогает писать модули, оформлять документацию, переводить фишинговые письма на десятки языков и собирать локализованные приманки под каждую страну. Прежняя модель, при которой троян писали месяцами вручную, постепенно уходит в прошлое.

Недавно Seqrite Labs описала операцию Dragon Weave против организаций в Чехии и Тайване. Там злоумышленники применяли загрузчики на Rust и прятали управляющий канал внутри обращений к Azure Blob Storage, выдавая вредоносный трафик за обычное взаимодействие с облаком Microsoft.

Бизнес во всё большем числе стран начинает понимать, что граница между шпионажем и финансово мотивированной преступностью размывается. Один и тот же троян может сегодня воровать клиентскую базу для перепродажи, а завтра использоваться для тихого присутствия в сети ради последующего вымогательства или перехвата деловой переписки.

Эксперты редакции CISOCLUB заявили, что появление Atlas RAT обозначает новую планку зрелости для финансово мотивированных группировок из Китая. TA4922 фактически работает как полноценный софтверный стартап с релиз-циклом, поддержкой нескольких продуктов и маркетинговой проработкой каналов доставки.

Использование генеративных моделей при разработке зловредов перестаёт быть экзотикой и превращается в норму, а это меняет экономику киберпреступности. Европейским компаниям придётся пересматривать подход к защите корпоративных мессенджеров, которые годами оставались слепой зоной для служб мониторинга. Игнорировать WhatsApp и Teams как векторы доставки больше нельзя, иначе следующая волна Atlas RAT встретит организации в той же беспомощной позе, что и текущая.

* Корпорация Meta, владеющая WhatsApp, признана экстремистской организацией и запрещена на территории Российской Федерации.