ESET enttarnt Struktur der Spionage-APT-Gruppe TA410 

Eset_News
Anzeige

Beitrag teilen

ESET Research enthüllt ein detailliertes Profil von TA410, einer Cyber-Spionage-Gruppierung, die lose mit APT10 kooperiert. Diese ist bekannt dafür, US-amerikanische Organisationen im Versorgungssektor und diplomatische Organisationen im Nahen Osten und Afrika ins Visier zu nehmen.

Die Forscher des europäischen IT-Sicherheitsherstellers gehen davon aus, dass diese Gruppe aus drei verschiedenen Teams besteht, die unterschiedliche Toolsets verwenden. Dieser Werkzeugkasten umfasst auch eine neue Version von FlowCloud. Hier handelt es sich um eine sehr komplexe Hintertür mit umfassenden Spionagefähigkeiten. ESET wird seine neuesten Erkenntnisse über TA410, einschließlich der Ergebnisse der laufenden Forschung, während der Botconf 2022 vorstellen.

Anzeige

Im Visier von TA410: Diplomaten und Militär

Die meisten TA410-Ziele sind Hochkaräter und umfassen Diplomaten, Universitäten und militärische Einrichtungen. Unter den Opfern im asiatischen Raum konnte ESET ein großes Industrieunternehmen und in Indien ein Bergbauunternehmen als Opfer identifizieren. In Israel hatten es die Täter auf eine Wohltätigkeitsorganisation abgesehen. In China scheint TA410 es primär auf Ausländer abgesehen zu haben.

Aufbau der eSpionage-Gruppe

Die von ESET identifizierten Untergruppierungen von TA410, die als FlowingFrog, LookingFrog und JollyFrog bezeichnet werden, haben Überschneidungen in TTPs, Viktimologie und Netzwerkinfrastruktur. Die ESET-Forscher gehen außerdem davon aus, dass diese Untergruppen einigermaßen unabhängig voneinander operieren, aber möglicherweise gemeinsame Informationsanforderungen, ein Zugangsteam, das ihre Spearphishing-Kampagnen durchführt, und auch das Team, das die Netzwerkinfrastruktur einrichtet, haben.

Anzeige

FlowClouds Spionagefunktionen

Der Angriff erfolgt in der Regel über das Ausnutzen von Sicherheitslücken in Standardanwendungen, wie beispielsweise Microsoft Exchange, oder durch das Versenden von Spearphishing-E-Mails mit schädlichen Dokumenten. „Die Opfer werden von TA410 gezielt ins Visier genommen werden. Die Angreifer setzen auf die jeweils entsprechend dem Opfer am erfolgversprechendste Angriffsmethodik, um das Zielsystemeffektiv zu infiltrieren“, erklärt ESET-Malware-Forscher Alexandre Côté Cyr. Obwohl die ESET-Forscher glauben, dass diese Version von FlowCloud, die vom FlowingFrog-Team verwendet wird, sich noch im Entwicklungs- und Teststadium befindet. Die Cyberspionage-Funktionen dieser Version umfassen die Möglichkeit, Mausbewegungen, Tastaturaktivitäten und Zwischenablageinhalte zusammen mit Informationen über das aktuelle Vordergrundfenster zu sammeln. Diese Informationen können Angreifern helfen, gestohlene Daten besser einzuordnen, indem sie sie kontextualisieren.

FlowCloud kann aber weit mehr: Die Spionagefunktion ist in der Lage, Bilder mit Hilfe der angeschlossenen Webcam oder der integrierten Kamera aufzunehmen oder Gespräche über das Mikrofon von Notebooks oder Webcams unbemerkt aufzuzeichnen. „Die letztere Funktion wird automatisch durch jeden Ton über einem Schwellwert von 65 Dezibel ausgelöst, was im oberen Bereich der normalen Gesprächslautstärke liegt“, so Côté Cyr weiter.

TA410 ist seit mindestens 2018 aktiv und wurde erstmals im August 2019 von Proofpoint in seinem LookBack-Blogpost veröffentlicht. Ein Jahr später wurde auch die damals neue und sehr komplexe Malware-Familie namens FlowCloud der TA410 Gruppe zugeschrieben.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Bitdefender deckt militärische Cyber-Spionage auf

Bitdefender Labs decken militärische Cyber-Spionage auf: Die Naikon-Hackergruppe nutzt Side-Loading-Techniken und leistungsstarke Backdoors für Spionage und Datenexfiltration. Während einer Analyse des ➡ Weiterlesen

Attacke auf deutsche Militär- und Regierungseinrichtungen

Aktuelle Cyber-Spionage-Kampagne: Transparent Tribe zielt auf Militär- und Regierungseinrichtungen weltweit ab. Deutschland ist dabei unter den am stärksten betroffenen Ländern.  Seit ➡ Weiterlesen

2,4 Milliarden Dollar Schaden: Wenn der falsche CEO Geld anfordert

CEO Fraud ist laut FBI die kostspieligste Online-Betrugsmasche: Betrüger haben damit 2021 insgesamt 2,4 Milliarden US-Dollar Schaden verursacht. Dabei fordert ➡ Weiterlesen

Botnet zerschlagen: Bei Zloader hat es sich ausgebottet

Koordinierter Schlag gegen globales Botnet gelungen: In einer gemeinsamen Aktion mit Microsoft, Lumen Black Lotus Labs und Palo Alto Networks ist ➡ Weiterlesen

ESET bringt neues Business Produktportfolio 2022

Der IT-Sicherheitshersteller ESET hat seine Palette an Business-Sicherheitslösungen weiter veredelt. Die ESET PROTECT-Plattform wurde einer Reihe von Änderungen unterzogen, um ➡ Weiterlesen

Fake-Shops verbreiten Schad-Apps und zielen auf Bankdaten

Experten des europäischen IT-Sicherheitsherstellers ESET haben eine noch immer andauernde Cybercrime-Kampagne entdeckt und analysiert. Ahnungslose Online-Shopper sollen zum Download von ➡ Weiterlesen

UEFI-Sicherheitslücken bei Lenovo Notebooks

Sicherheitsanbieter ESET gibt eine Sicherheitswarnung: Gefährliche UEFI-Sicherheitslücken in Lenovo-Notebooks entdeckt. Besitzern von Lenovo-Laptops sollten sich die Liste der betroffenen Geräte ➡ Weiterlesen

Passwort wird für Online-Nutzer zum alten Eisen

ESET Frühjahrsumfrage 2022 zeigt positive Entwicklung – jeder vierte Befragte nutzt Passwort-Manager und jeder Dritte setzt auf Zwei-Faktor-Authentifizierung. Der Trend ➡ Weiterlesen