ESET enttarnt Struktur der Spionage-APT-Gruppe TA410 

Eset_News
Anzeige

Beitrag teilen

ESET Research enthüllt ein detailliertes Profil von TA410, einer Cyber-Spionage-Gruppierung, die lose mit APT10 kooperiert. Diese ist bekannt dafür, US-amerikanische Organisationen im Versorgungssektor und diplomatische Organisationen im Nahen Osten und Afrika ins Visier zu nehmen.

Die Forscher des europäischen IT-Sicherheitsherstellers gehen davon aus, dass diese Gruppe aus drei verschiedenen Teams besteht, die unterschiedliche Toolsets verwenden. Dieser Werkzeugkasten umfasst auch eine neue Version von FlowCloud. Hier handelt es sich um eine sehr komplexe Hintertür mit umfassenden Spionagefähigkeiten. ESET wird seine neuesten Erkenntnisse über TA410, einschließlich der Ergebnisse der laufenden Forschung, während der Botconf 2022 vorstellen.

Anzeige

Im Visier von TA410: Diplomaten und Militär

Die meisten TA410-Ziele sind Hochkaräter und umfassen Diplomaten, Universitäten und militärische Einrichtungen. Unter den Opfern im asiatischen Raum konnte ESET ein großes Industrieunternehmen und in Indien ein Bergbauunternehmen als Opfer identifizieren. In Israel hatten es die Täter auf eine Wohltätigkeitsorganisation abgesehen. In China scheint TA410 es primär auf Ausländer abgesehen zu haben.

Aufbau der eSpionage-Gruppe

Die von ESET identifizierten Untergruppierungen von TA410, die als FlowingFrog, LookingFrog und JollyFrog bezeichnet werden, haben Überschneidungen in TTPs, Viktimologie und Netzwerkinfrastruktur. Die ESET-Forscher gehen außerdem davon aus, dass diese Untergruppen einigermaßen unabhängig voneinander operieren, aber möglicherweise gemeinsame Informationsanforderungen, ein Zugangsteam, das ihre Spearphishing-Kampagnen durchführt, und auch das Team, das die Netzwerkinfrastruktur einrichtet, haben.

Anzeige
WatchGuard_Banner_0922

FlowClouds Spionagefunktionen

Der Angriff erfolgt in der Regel über das Ausnutzen von Sicherheitslücken in Standardanwendungen, wie beispielsweise Microsoft Exchange, oder durch das Versenden von Spearphishing-E-Mails mit schädlichen Dokumenten. „Die Opfer werden von TA410 gezielt ins Visier genommen werden. Die Angreifer setzen auf die jeweils entsprechend dem Opfer am erfolgversprechendste Angriffsmethodik, um das Zielsystemeffektiv zu infiltrieren“, erklärt ESET-Malware-Forscher Alexandre Côté Cyr. Obwohl die ESET-Forscher glauben, dass diese Version von FlowCloud, die vom FlowingFrog-Team verwendet wird, sich noch im Entwicklungs- und Teststadium befindet. Die Cyberspionage-Funktionen dieser Version umfassen die Möglichkeit, Mausbewegungen, Tastaturaktivitäten und Zwischenablageinhalte zusammen mit Informationen über das aktuelle Vordergrundfenster zu sammeln. Diese Informationen können Angreifern helfen, gestohlene Daten besser einzuordnen, indem sie sie kontextualisieren.

FlowCloud kann aber weit mehr: Die Spionagefunktion ist in der Lage, Bilder mit Hilfe der angeschlossenen Webcam oder der integrierten Kamera aufzunehmen oder Gespräche über das Mikrofon von Notebooks oder Webcams unbemerkt aufzuzeichnen. „Die letztere Funktion wird automatisch durch jeden Ton über einem Schwellwert von 65 Dezibel ausgelöst, was im oberen Bereich der normalen Gesprächslautstärke liegt“, so Côté Cyr weiter.

TA410 ist seit mindestens 2018 aktiv und wurde erstmals im August 2019 von Proofpoint in seinem LookBack-Blogpost veröffentlicht. Ein Jahr später wurde auch die damals neue und sehr komplexe Malware-Familie namens FlowCloud der TA410 Gruppe zugeschrieben.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Entspannung beim Fachkräftemangel in der IT-Sicherheit

Die Welt steht still, so scheint es, doch der Schein trügt. Wie für so viele IT-Themen gehören auch Managed Security ➡ Weiterlesen

Forscher decken Angriffe auf europäische Luftfahrt- und Rüstungskonzerne auf

ESET-Forscher decken gezielte Angriffe gegen hochkarätige europäische Luftfahrt- und Rüstungskonzerne auf. Gemeinsame Untersuchung in Zusammenarbeit mit zwei der betroffenen europäischen Unternehmen ➡ Weiterlesen

Trends und Tipps zur Weiterentwicklung moderner CISOs

Kudelski Security, die Cybersicherheitsabteilung der Kudelski-Gruppe, veröffentlicht ihr neues Forschungspapier zum Cybergeschäft "Building the Future of Security Leadership"(Aufbau künftiger Sicherheitsexperten). ➡ Weiterlesen

Java-Malware kopiert Passwörter

G Data-Forscher decken auf: Java-Malware kopiert Passwörter und ermöglicht auch noch die Fernsteuerung via RDP. Eine in Java entwickelte neu ➡ Weiterlesen

Vertrauen auf VPN für den sicheren Zugriff

SANS Institute, ein Anbieter von Cybersicherheitsschulungen und -zertifizierungen, stellt die Untersuchung „Remote Worker Poll“ zur Verbreitung von Home Office Security ➡ Weiterlesen

Hackergruppe gibt auf und veröffentlicht Schlüssel

Manchmal beschleicht wohl auch Hacker so etwas wie Reue oder ein schlechtes Gewissen und sie geben ihre schwarzen Hüte an ➡ Weiterlesen

Bösartige Chrome Extensions führen zum Datendiebstahl

Google Chrome Extensions und Communigal Communication Ltd. (Galcomm)-Domänen sind in einer Kampagne ausgenutzt worden, die darauf abzielt, Aktivitäten und Daten ➡ Weiterlesen

Mobiles Arbeiten: Faktencheck zeigt Notwendigkeit der Datenverschlüsselung

In Zeiten von Covid-19 wandert ein ganzes Land von einem Tag auf den anderen ins Home-Office – und mit ihnen ➡ Weiterlesen