ESET Research révèle un profil détaillé de TA410, un groupe de cyberespionnage coopérant vaguement avec APT10. Cela est connu pour cibler les organisations américaines du secteur des services publics et les organisations diplomatiques au Moyen-Orient et en Afrique.
Les chercheurs du fabricant européen de sécurité informatique supposent que ce groupe se compose de trois équipes différentes utilisant des outils différents. Cette boîte à outils inclut également une nouvelle version de FlowCloud. Il s'agit d'une porte dérobée très complexe avec des capacités d'espionnage étendues. ESET présentera ses dernières découvertes sur TA410, y compris les résultats des recherches en cours, lors de la Botconf 2022.
Cibles du TA410 : diplomates et militaires
La plupart des cibles TA410 sont très médiatisées et comprennent des diplomates, des universités et des installations militaires. ESET a pu identifier une grande entreprise industrielle parmi les victimes en Asie et une société minière en Inde. En Israël, les auteurs ciblaient une organisation caritative. En Chine, TA410 semble cibler principalement les étrangers.
Création du groupe eSpionnage
Les sous-groupes de TA410 identifiés par ESET, appelés FlowingFrog, LookingFrog et JollyFrog, ont des chevauchements dans les TTP, la victimologie et l'infrastructure réseau. Les chercheurs d'ESET postulent également que ces sous-groupes fonctionnent de manière quelque peu indépendante mais peuvent partager des exigences d'informations communes, une équipe d'accès qui gère leurs campagnes de harponnage, ainsi que l'équipe qui met en place l'infrastructure réseau.
Les capacités d'espionnage de FlowCloud
L'attaque est généralement menée en exploitant les vulnérabilités d'applications standard telles que Microsoft Exchange, ou en envoyant des e-mails de spear phishing contenant des documents malveillants. « Les victimes seront spécifiquement ciblées par TA410. Les attaquants s'appuient sur la méthode d'attaque la plus prometteuse selon la victime afin d'infiltrer efficacement le système cible », explique Alexandre Côté Cyr, chercheur sur les logiciels malveillants chez ESET. Bien que les chercheurs d'ESET pensent que cette version de FlowCloud utilisée par l'équipe FlowingFrog est encore en phase de développement et de test. Les capacités de cyberespionnage de cette version incluent la possibilité de collecter les mouvements de la souris, l'activité du clavier et le contenu du presse-papiers, ainsi que des informations sur la fenêtre de premier plan actuelle. Ces informations peuvent aider les attaquants à mieux comprendre les données volées en les contextualisant.
Mais FlowCloud peut faire bien plus : la fonction espion est capable de prendre des photos à l'aide de la webcam connectée ou de la caméra intégrée ou d'enregistrer des conversations inaperçues via le microphone d'ordinateurs portables ou de webcams. « Cette dernière fonction est automatiquement déclenchée par tout son au-dessus d'un seuil de 65 décibels, qui se situe dans la plage supérieure du volume sonore normal d'une conversation », poursuit Côté Cyr.
TA410 est actif depuis au moins 2018 et a été publié pour la première fois par Proofpoint dans son article de blog LookBack en août 2019. Un an plus tard, la famille de logiciels malveillants alors nouvelle et très complexe appelée FlowCloud a également été attribuée au groupe TA410.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.